भारतीय रिसर्चर ने ढूंढा फेसबुक में खामी, QR कोड स्कैन से मिले URL से किया जा सकता था हैक

फेसबुक हैक करना कई बार इतना आसान होता है कि आपको यकीन नहीं होता. ऐसे मामले पहले भी आए हैं और अब एक नया मामला सामने आया है. ऐसी हैकिंग के लिए आपको किसी हैकिंग कोर्स की जरूरत नहीं होती है. बस फेसबुक की खामी का फायदा उठा कर किसी दूसरे के अकाउंट में सेंध लगाए जा सकते हैं.

भारत के ही एक साइबर सिक्योरिटी रिसर्चर हैं जिन्होंने फेसबुक में मिली इस खामी के बारे में विस्तार से बताया है. दरअसल फेसबुक ने लॉग इन के लिए एक ऑप्शन दिया है जिसका नाम Login With your phone है. यह लॉग इन पेज पर दिखता है. इसके फीचर के जरिए यूजर्स QR को स्कैन करके फेसबुक में लॉग इन कर सकते हैं.

रिसर्चर का कहना है कि इस QR का गलत इस्तेमाल किया जा सकता है, क्योंकि यह  QR कोड यूजर आईडी के साथ लिंक नहीं होता है जिसने इसे स्कैन किया है और अटैकर इस QR कोड से जेनेरेट किए गए यूआरएल को किसी को सेंड कर सकता है. इस यूआरएल पर क्लिक करते ही आपका अकाउंट हो सकता है.

फेसबुक का नया फीचर ‘Login with your Phone’ ऑप्शन है. यह फीचर यूजर को QR कोड देता है जिसे यूजर्स दो तरीके से स्कैन कर सकते हैं. इसे फेसबुक ऐप के जरिए स्कैन किया जा सकता है. फेसबुक के ऐप में दाईं तरफ स्कैन QR कोड का ऑप्शन होता है. दूसरा तरीका थर्ड पार्टी स्कैनर है जिसे आप प्ले स्टोर या ऐप स्टोर से डाउनलोड कर सकते हैं. यानी दिए लॉगइन के लिए दिए गए QR कोड को मोबाइल से स्कैन करके आप लॉगइन कर सकते हैं.

रिसर्चर ने QR कोड को स्कैन करने के लिए पहले फेसबुक ऐप का यूज किया जिससे उन्होंने आसानी से लॉग इन किया. इसके बाद उन्होंने थर्ड पार्टी QR कोड स्कैनर से इसे स्कैन किया और उन्होंने एक URL मिला.

QR कोड स्कैनर से जेनेरेट किए गए URL को उन्होंने व्हाट्सऐप के जरिए दूसरे मोबाइल में ट्रांसफर किया जिसमें उन्होंने पहले से टेस्ट फेसबुक अकाउंट में लॉग इन किया था. भेजे गए URL को क्लिक करने से उनसे लॉग इन करने के लिए Allow और Deny का ऑप्शन आया.

रिसर्चर का कहना है कि यहां उन्हें उम्मीद थी कि कोई एरर मिलेगा. लेकिन ऐसा नहीं हुआ और वो टेस्ट अकाउंट को अपने कंप्यूटर में खोलने में सफल हो गए जो उनके लिए हैरानी भरा था. इसके लिए उन्हें पासवर्ड एंटर करने की भी जरूरत नहीं हुई.

उन्होंने ऐसा कई बार ट्राई किया और वो हर बार सफल हुए. उन्होंने इसके लिए क्रॉस साइ फॉर्जरी रिक्वेस्ट का भी इस्तेमाल किया है. अगर आपको इसके बारे में नहीं पता तो बता दें कि यह एक तरह का साइबर अटैक होता है जो यूजर को किसी वेब ऐप्लिकेशन खोलने पर मजबूर करता है. इस तरीके से वो किसी भी यूजर का फेसबुक अकाउंट हैक कर सकते थे.

कार्तिक सिंह नाम के इस साइबर सिक्योरिटी रिसर्चर ने कहा है कि उन्होंने इस बारे में फेसबुक को बताया है और फेसबुक ने इसे ठीक कर लिया है.