Facebook заплатила рекордную сумму специалисту за нахождение уязвимости, которая давала доступ к любому аккаунту.
Непальский исследователь кибербезопасности Самип Арьял вошел в историю, обнаружив в системе сброса пароля Facebook*, которая позволяла злоумышленнику без всяких действий со стороны жертвы завладеть любой учетной записью.
Открытие не только принесло Арьялу рекордное вознаграждение от компании, но и высшую позицию в среди белых хакеров за 2024 год. Сумма вознаграждения, однако, остается неизвестной.
Арьял выявил, что функция сброса пароля не имела ограничения по количеству попыток запроса кода, что давало возможность проведения атак без участия пользователя. Атакующий мог отправить запрос на сброс пароля и методом подобрать 6-значный код безопасности.
Арьяла показало, что при сбросе пароля через Android Studio пользователю предлагалось получить код безопасности через уведомление на Facebook, причем код оставался действительным в течение 2-ух часов, даже если были предприняты неудачные попытки его ввода. Арьял отметил, что в отличие от сброса по SMS, код не аннулировался после нескольких ошибочных попыток.
Для некоторых пользователей код отображается в самом уведомлении (Zero Click), а в другом случае код нужно посмотреть после нажатия на уведомление (One Click)
Применяя метод брутфорса, Арьял смог проверить все возможные комбинации кодов за час, выявив уязвимость, позволяющую отображать код непосредственно в уведомлении без необходимости клика по нему. Арьял сообщил о недостатке Facebook 30 января 2024 года, и уже ко 2 февраля проблема была устранена.
Подробнее:
Непальский исследователь кибербезопасности Самип Арьял вошел в историю, обнаружив в системе сброса пароля Facebook*, которая позволяла злоумышленнику без всяких действий со стороны жертвы завладеть любой учетной записью.
Открытие не только принесло Арьялу рекордное вознаграждение от компании, но и высшую позицию в среди белых хакеров за 2024 год. Сумма вознаграждения, однако, остается неизвестной.
Арьял выявил, что функция сброса пароля не имела ограничения по количеству попыток запроса кода, что давало возможность проведения атак без участия пользователя. Атакующий мог отправить запрос на сброс пароля и методом подобрать 6-значный код безопасности.
Арьяла показало, что при сбросе пароля через Android Studio пользователю предлагалось получить код безопасности через уведомление на Facebook, причем код оставался действительным в течение 2-ух часов, даже если были предприняты неудачные попытки его ввода. Арьял отметил, что в отличие от сброса по SMS, код не аннулировался после нескольких ошибочных попыток.
Для некоторых пользователей код отображается в самом уведомлении (Zero Click), а в другом случае код нужно посмотреть после нажатия на уведомление (One Click)
Применяя метод брутфорса, Арьял смог проверить все возможные комбинации кодов за час, выявив уязвимость, позволяющую отображать код непосредственно в уведомлении без необходимости клика по нему. Арьял сообщил о недостатке Facebook 30 января 2024 года, и уже ко 2 февраля проблема была устранена.
Подробнее:
