Уязвимость в Facebook позволяет взломать учетную запись любого пользователя

10 марта 2016 года

Файл:How to create a Facebook Account.jpg
Страница регистрации пользователя в Facebook

Исследователь безопасности Ананд Пракаш (англ. Anand Prakash) обнаружил серьёзную уязвимость в Facebook, позволяющую злоумышленнику получить доступ к любой учётной записи в социальной сети. Для эксплуатации уязвимости достаточно осуществить обыкновенную брутфорс-атаку.

Ошибка была обнаружена в механизме сброса паролей на сайте Facebook для разработчиков (beta.facebook.com) и упрощенной версии ресурса (mbasic.beta.facebook.com). Как оказалось, на сайтах отсутствовала защита от брутфорс-атак, и исследователь смог подобрать шестизначный код двухфакторной аутентификации.

Исследователь попытался раскрыть шестизначный код на основном сайте Facebook, но после 10-12 неверных вводов система безопасности блокировала дальнейшие попытки входа. На упрощенной и бета-версии сайта подобное ограничение отсутствовало, и Пракаш смог подобрать код безопасности, проведя брутфорс-атаку с помощью ПО Burp Suite.

По словам представителей Facebook, Пракаш обнаружил временную ошибку, успевшую просуществовать лишь короткий промежуток времени. Уязвимость была немедленно устранена. Администрация Facebook выплатила исследователю $15 тысяч.

Источники править


Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.