Nir Goldshlager a trouvé une faille de sécurité très grave dans le réseau de médias sociaux Facebook et il a ensuite trouvé une faille dans le code qu’il a réparé sans trop de difficulté.
Nir Goldshlager, est un hacker qui est beau 🙂 qui ne se cache pas 🙂 mais qui est surtout très très doué . A ces moments perdus, il a testé les systèmes de sécurité informatique de certaines des plus grandes sociétés dans le monde. Pour la deuxième année consécutive, Goldshlager est devenu le n ° 1 dans le sauvetage du réseau social Facebook en matière de sécurité « hall of fame – pour avoir sauver le site Facebook, utilisé par plus d’un milliard d’utilisateurs. »
Goldshlager, est un membre du personnel du cabinet d’Avnet cyber-sécurité israélienne. C’est la deuxième fois cette année, qu’il évite à Facebook, la banqueroute. Il a découvert une faille de sécurité importante (dans le protocole d’authentification OAuth Facebook pour les services externes) qui permettrait aux pirates de prendre le contrôle des comptes, et lorsque Facebook se hâta de couvrir la brèche, il a découvert un second problème majeur dans le code corrigé. C’est un as quoi !
« Même après avoir réparé la faille, j’ai réussi à prendre le contrôle des comptes par le biais de deux canaux parallèles», a déclaré Goldshlager. Il suffisait d’envoyer un lien direct vers un utilisateur, et profitant de la faille , il était possible d’avoir accès aux comptes, et d’injecter le code pour découvrir l’accès sur des masses de données de nombreux utilisateurs. »
Le pire, Goldshlager a ajouté, qu’il n’était même pas nécessaire de connaître le mot de passe de l’utilisateur et qu’il était possible de pirater un compte Facebook par SMS. «Les utilisateurs ne pouvaient pas savoir que j’avais accès à leur compte. J’ai pu accéder à tous les renseignements personnels, y compris les pages privées avec des statistiques, le contenu, les listes d’amis, etc… «
Goldshlager fut apparemment le premier à découvrir la brèche, et en trois jours , il a réussi a réparé cette faille tandis que la deuxième réparation a pris quelques jours de plus. Facebook n’a rien signalé pour eviter de faire fuir ses utilisateurs.
Dans l’analyse finale, Goldshlager a ajouté , que malgré l’exploit, malgré sa complexité, cela prouve combien qu’ il est facile pour quelqu’un qui a des connaissances nécessaires peut voler des données furtivement sur les réseaux sociaux, sans même que la victime s’en aperçoit . Facebook, a remercié à deux reprises Goldshlager très chaleureusement.
