Onderzoeker kon wachtwoord van ieder Facebook account wijzigen
Een bètasite van Facebook blijkt een ernstig beveiligingslek te hebben bevat, waarmee het mogelijk was toegang te krijgen tot ieder Facebook account. Een aanvaller had hier alleen het e-mailadres of telefoonnummer dat aan een account is gekoppeld voor nodig.
Het probleem is ontdekt door beveiligingsonderzoeker Anand Prakash, die zijn bevindingen beschrijft in een blogpost. De onderzoeker heeft het lek gemeld bij Facebook, dat het probleem heeft opgelost. Prakash heeft 15.000 dollar ontvangen voor zijn ontdekking.
Zes cijferige code
Wie het wachtwoord van een Facebook account wil resetten moet zijn e-mailadres of telefoonnummer voeren. Facebook stuurt vervolgens een code van zes cijfers op, die moet worden ingevoerd om een nieuw wachtwoord te kunnen instellen. Op Facebook.com kan een gebruiker 10 tot 12 verschillende codes invoeren voordat deze pogingen worden geblokkeerd.
Op een bètasite van Facebook bleek deze beperking echter te ontbreken en kan de code oneindig vaak worden ingevoerd. Dit maakt het mogelijk een script te schrijven dat geheel automatisch alle mogelijke codes probeert in te voeren, totdat het wachtwoord van het account met succes is veranderd. Prakash probeerde de aanval uit op zijn eigen Facebook account en wist zijn wachtwoord met succes te wijzigen. Het probleem is op 22 februari door Prakash bij Facebook gemeld en zou binnen een dag zijn opgelost.
Meer over
Lees ook
Ernstige kwetsbaarheden in NetScaler Gateway en NetScaler ADC
Softwarebedrijf Citrix heeft beveiligingsupdates uitgebracht voor kwetsbaarheden in NetScaler Gateway en NetScaler ADC, die vroeger bekend stonden als Citrix Gateway en Citrix ADC. Eén van de kwetsbaarheden, met kenmerk CVE-2023-4966, wordt actief misbruikt en krijgt een CVSS-score van 9,4. Dit betekent dat het om een zeer kritieke kwetsbaarheid g1
Arctic Wolf wil Revelstoke overnemen om security operations te verbeteren
Arctic Wolf wil Revelstoke overnemen, de maker van het eerste SOAR-platform (Security Orchestration, Automation and Response) dat is gebouwd op een Unified Data Layer (UDL). Het SOAR-platform van Revelstoke dient als verbindingselement tussen security en IT-oplossingen, waarbij ongelijksoortige data en -systemen met elkaar worden geïntegreerd.
DTC: Ernstige kwetsbaarheid in Cisco IOS XE image
Er is een ernstige kwetsbaarheid gevonden in Cisco IOS XE. De kwetsbaarheid is bekend onder het kenmerk CVE-2023-20198. Deze Cisco-kwetsbaarheid krijgt een CVSS score van 10.0 en het Nationaal Cyber Security Centrum (NCSC) beoordeelt de kwetsbaarheid als ‘High/High’. Dit betekent dat dit een zeer kritieke kwetsbaarheid is waarbij zowel de kans op1