Индийский исследователь получил 15 тысяч долларов за взлом Facebook

[Tcinet]

Исследователь Ананд Пракаш из Индии получили премию в 15 тысяч долларов от социальной сети Facebook. Ему удалось обнаружить опаснейшую уязвимость, потенциально позволявшую злоумышленникам завладеть учетной записью любого пользователя. Описанная Пракашем атака основывается на используемом в Facebook механизме смены пароля. Желая изменить его, пользователь должен сообщить администрации свое имя, имя учетной записи, а также адрес электронной почты и номер телефона. На этот номер высылается 6-значный цифровой код, ввод которого и позволяет сменить пароль. Поскольку узнать имя пользователя, его адрес электронной почты и имя аккаунта не составляет труда, этот механизм открывает потенциальную возможность простой атаки путем перебора вариантов цифрового кода (brute force).

Разумеется, в Facebook учли эту опасность, и после 10 попыток ввода неверного кода доступ блокируется. Однако защита распространялась лишь на официальный сайт сети. Между тем существуют и ее страницы для бета-тестировщиков: beta.facebook.com и mbasic.beta.facebook.com. И Ананд Пракаш обнаружил, что на них защитный механизм не распространялся – вводить варианты кода можно было до бесконечности. Таким образом, Пракаш осуществил несколько успешных brute force атак, меняя пароли знакомых, согласившихся помочь ему в эксперименте. Все изменения, сделанные на бета-страницах, распространялись, разумеется, и на главный сайт.

О своей находке исследователь уведомил Facebook еще в конце февраля. Представители социальной сети проверили и подтвердили факт наличия уязвимости, признав ее весьма серьезной. Что наглядно отразилось и в сумме вознаграждения, выплаченного Пракашу. В настоящий момент уязвимость ликвидирована.