Новости Непальский хакер возглавил Зал славы, взломав Facebook за 1 час

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Facebook заплатила рекордную сумму специалисту за нахождение уязвимости, которая давала доступ к любому аккаунту.


zo12p6b1fppcxjsnsefkw9332mglounh.jpg


Непальский исследователь кибербезопасности Самип Арьял вошел в историю, обнаружив уязвимость в системе сброса пароля Facebook*, которая позволяла злоумышленнику без всяких действий со стороны жертвы завладеть любой учетной записью.

Открытие не только принесло Арьялу рекордное вознаграждение от компании, но и высшую позицию в Для просмотра ссылки Войди или Зарегистрируйся среди белых хакеров за 2024 год. Сумма вознаграждения, однако, остается неизвестной.

Арьял выявил, что функция сброса пароля Facebook не имела ограничения по количеству попыток запроса кода, что давало возможность проведения атак без участия пользователя. Атакующий мог отправить запрос на сброс пароля и методом брутфорса подобрать 6-значный код безопасности.

Для просмотра ссылки Войди или Зарегистрируйся Арьяла показало, что при сбросе пароля через Android Studio пользователю предлагалось получить код безопасности через уведомление на Facebook, причем код оставался действительным в течение 2-ух часов, даже если были предприняты неудачные попытки его ввода. Арьял отметил, что в отличие от сброса по SMS, код не аннулировался после нескольких ошибочных попыток.


4l7xwlrkcrs0wkrjfstcu0ux3cqgwdb3.png


Для некоторых пользователей код отображается в самом уведомлении (Zero Click), а в другом случае код нужно посмотреть после нажатия на уведомление (One Click)

Применяя метод брутфорса, Арьял смог проверить все возможные комбинации кодов за час, выявив уязвимость, позволяющую отображать код непосредственно в уведомлении без необходимости клика по нему. Арьял сообщил о недостатке Facebook 30 января 2024 года, и уже ко 2 февраля проблема была устранена.

<span style="font-size: 8pt;">* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.</span>
 
Источник новости
www.securitylab.ru

Похожие темы