Уязвимость в Facebook позволяет взломать учетную запись любого пользователя

Материал из Викиновостей, свободного источника новостей
Перейти к навигации Перейти к поиску

10 марта 2016

Страница регистрации пользователя в Facebook

Исследователь безопасности Ананд Пракаш (англ. Anand Prakash) обнаружил серьёзную уязвимость в Facebook, позволяющую злоумышленнику получить доступ к любой учётной записи в социальной сети. Для эксплуатации уязвимости достаточно осуществить обыкновенную брутфорс-атаку.

Ошибка была обнаружена в механизме сброса паролей на сайте Facebook для разработчиков (beta.facebook.com) и упрощенной версии ресурса (mbasic.beta.facebook.com). Как оказалось, на сайтах отсутствовала защита от брутфорс-атак, и исследователь смог подобрать шестизначный код двухфакторной аутентификации.

Исследователь попытался раскрыть шестизначный код на основном сайте Facebook, но после 10-12 неверных вводов система безопасности блокировала дальнейшие попытки входа. На упрощенной и бета-версии сайта подобное ограничение отсутствовало, и Пракаш смог подобрать код безопасности, проведя брутфорс-атаку с помощью ПО Burp Suite.

По словам представителей Facebook, Пракаш обнаружил временную ошибку, успевшую просуществовать лишь короткий промежуток времени. Уязвимость была немедленно устранена. Администрация Facebook выплатила исследователю $15 тысяч.

 

Источники[править]


 

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.