Джеймс Мартиндейл опубликовал в блоге на Medium материал, в котором рассказывается о взломе аккаунтов Facebook. Он утверждает, что Facebook в курсе уязвимости, но не собирается устранять её.

Проблема в том, что Facebook позволяет залогиниваться с использованием телефона даже в том случае, если номер меняет владельца (так случается, если долго не пользоваться номером). Такая возможность реализована во множестве сервисов, но Facebook не предусматривает никакой защиты от взлома.


Примечательно, что Facebook сам компрометирует аккаунты: пользователям иногда приходят SMS-сообщения, где говорится, что они давно не посещали соцсеть. Если человек приобрёл телефонный номер, который ранее был привязан к аккаунту Facebook, для входа в чужую учётную запись ему не придётся вводить пароль. Более того, после залогинивания с использованием телефона пароль не сбрасывается (как это происходит в других сервисах). Проблема усугубляется тем, что к аккаунту можно привязать несколько номеров, и если пользователь меняет телефон, он даже не подозревает о том, что старый номер всё ещё привязан к его странице.



Издание The Register связалось с Facebook и выяснило, что соцсеть не считает такую особенность входа в сервис проблемой и не собирается ничего предпринимать.