Индийский исследователь получил 15 тысяч долларов за взлом Facebook

 Описанная Пракашем атака основывается на используемом в Facebook механизме смены пароля. Желая изменить его, пользователь должен сообщить администрации свое имя, имя учетной записи, а также адрес электронной почты и номер телефона. На этот номер высылается 6-значный цифровой код, ввод которого и позволяет сменить пароль. Поскольку узнать имя пользователя, его адрес электронной почты и имя аккаунта не составляет труда, этот механизм открывает потенциальную возможность простой атаки путем перебора вариантов цифрового кода (brute force).

Разумеется, в Facebook учли эту опасность, и после 10 попыток ввода неверного кода доступ блокируется. Однако защита распространялась лишь на официальный сайт сети. Между тем существуют и ее страницы для бета-тестировщиков: beta.facebook.com и mbasic.beta.facebook.com. И Ананд Пракаш обнаружил, что на них защитный механизм не распространялся – вводить варианты кода можно было до бесконечности. Таким образом, Пракаш осуществил несколько успешных brute force атак, меняя пароли знакомых, согласившихся помочь ему в эксперименте. Все изменения, сделанные на бета-страницах, распространялись, разумеется, и на главный сайт.

О своей находке исследователь уведомил Facebook еще в конце февраля. Представители социальной сети проверили и подтвердили факт наличия уязвимости, признав ее весьма серьезной. Что наглядно отразилось и в сумме вознаграждения, выплаченного Пракашу. В настоящий момент уязвимость ликвидирована.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!