Уязвимость в механизме сброса паролей позволяет взломать любую учетную запись Facebook

Проблема заключается в алгоритме, применяемом соцсетью для генерации произвольных шестизначных паролей.




Исследователь из Калифорнии Гуркират Сингх (Gurkirat Singh) продемонстрировал простой метод взлома любой учетной записи Facebook, работающий в независимости от сложности установленного пароля и наличия дополнительной защиты.


Эксперт обнаружил уязвимость в механизме сброса паролей Facebook, проэксплуатировав которую злоумышленник может получить полный доступ к учетной записи любого пользователя и выполнять различные действия, в том числе просматривать сообщения и данные платежных карт, публиковать информацию и т.д. По словам Сингха, атака довольно проста по сути, но сложна в плане реализации.


Проблема заключается в алгоритме, применяемом соцсетью для генерации произвольных шестизначных паролей (1 млн возможных комбинаций). По словам Сингха, каждый раз система генерирует одни и те же пароли до тех пор, пока не будет использована вся база.


«Таким образом, если 1 млн пользователей в течение короткого периода времени отправят запросы на сброс пароля, 1,000,0001 человек получит код, который уже используется для какой-то учетной записи», - пояснил Сингх.


На первом этапе с помощью Facebook Graph API исследователь собрал базу валидных идентификаторов пользователей Facebook, начиная с 100,000,000,000,000. Используя страницу www.facebook.com/[ID], он смог составить список из 2 млн действительных логинов подписчиков соцресурса. Далее при помощи скрипта, сотен прокси и произвольных данных User Agent, Сингх инициировал автоматические запросы на сброс пароля для этих 2 млн пользователей и, выбрав один из полученных кодов (338625), осуществил брутфорс-атаку с целью подобрать комбинацию логин/338625. В результате эксперту удалось переустановить пароль и получить доступ к произвольной учетной записи Facebook.


Свои наработки Сингх передал специалистам Facebook. Руководство соцсети признало наличие проблемы и выплатило исследователю вознаграждение в размере всего $500, так как посчитало уязвимость недостаточно опасной.


Напомним, в марте нынешнего года эксперт Ананд Пракаш (Anand Prakash) сообщил о похожей уязвимости в механизме сброса паролей Facebook, позволяющей подобрать шестизначный код аутентификации при помощи метода брутфорс. 
Stfw.Ru
Читайте также


Оставить комментарий
Имя:  

Комментарий:

Гонка гигабайтов продолжается – не успела Xiaomi выпустить первый в мире смартфон с 10 Гб оперативной памяти, как Lenovo вознамерилась побить ее рекорд. Китайский вендор  намерен представить смартфон с еще большим количеством RAM, и сделает она это уже завтра.
Lenovo выпустит первый в мире смартфон с 12 Гб RAM
Новый мобильник носит название Lenovo Z5s, и это полноценный флагман, правда, по слухам, пока все же на процессоре Qualcomm  845 вместо новейшего 855. CPU этот, конечно, мощный, но уже не топовый. Смартфон увидит свет в трех цветах корпуса, включая оранжевый, сине-фиолетовый и почти черный, его оснастят тройной основной камерой и, что удивительно, сканером отпечатков пальцев на тыльной панели.
Зато экран почти лишат рамок, ОС Android  обновят до версии 9 Pie и установят поверх нее последнюю версию прошивки ZUI (Lenovo утверждает, что она даже лучше, чем MIUI, хотя это крайне сомнительно), плюс нам обещают LTE на обоих SIM-слотах и поддержку microSD до 2 терабайтов. У Lenovo Z5s нет ни цены, ни точной даты релиза – пока только дата анонса. Добавим, что 12 Гб в 2018 и даже 2019 году – это всего лишь маркетинг, так как такой объем бесполезен. Он нужен будет только очень неоптимизированным приложениям, потребляющим системные ресурсы в любых объемах.

Компания Huawei работает над новыми умными часами, которые собирается построить на базе процессора от MediaTek. Утверждается, что это будет удешевленная версия модели Watch Magic, показанной на рендере, к тому же, часики выпустят под дочерним брендом Honor.
Huawei выпустит часы на процессоре MediaTek
Новинка от Huawei уже прошла сертификацию в ряде организаций и ассоциаций, что свидетельствует о скором анонсе, но пока все же неясно, когда именно ее представят широкой публике. Все спецификации часов тоже держатся в секрете, а тот факт, что рассказали про процессор от MediaTek – это очередной плевок в сторону США. Huawei не стала использовать свой собственный чип серии Kirin, но и делать заказ у американской Qualcomm тоже не спешит, и потому единственным оставшимся вариантом выбора стала китайская MediaTek.
По прошивке тоже пока не совсем понятно – это точно будет не Android Wear, так что, по всей видимости, остановятся на Lite OS. Это, напомним, собственная разработка Huawei, которую уже можно встретить в часах Watch Magic и Watch GT. Словом, китайцы готовят максимально китайские часы, чтобы вообще никак не зависеть от Google, Qualcomm и в целом от США. Само собой, это следствие торговой войны между странами. Цена новых часов может оказаться очень привлекательной.


Примечание: При комментировании материала просим соблюдать законы Российской Федерации. Пожалуйста, воздержитесь от оскорблений и токсичного поведения.

Сводка событий

02:12 Экс-дипломат рассказал о "бегстве" Порошенко с дебатов в Европарламенте


02:12 Сирия, не колеблясь, ударит по израильскому аэропорту, если аэропорт Дамаска станет мишенью для Израиля


02:12 Россия: мы готовы к сотрудничеству с Турцией в космосе (Haber7, Турция)


02:12 Названа стоимость американского истребителя шестого поколения


02:12 Воскресное: Вьетнамский студент Ву Нгок Хуй отстоял право на свою фамилию в одесском суде


02:12 ВСУ усилили тяжелой техникой свою группировку на горловском направлении. На аэродром "Бердянск" зафиксирована переброска четырех самолетов Су-25 - разведка


02:12 В России возрождается рыбная отрасль


02:12 Би-би-си требует доказать "вмешательство России" в протесты во Франции


16:12 "В 1941-м немцы сбросили на нас атомную бомбу": кто теперь правит в США. Вроде не про нас, но и про нас тоже


14:12 Рецензия на фильм «Аквамен» / Aquaman


14:12 Pokemon: Let’s Go, Pikachu!


14:12 Mutant Year Zero: Road to Eden – сталкеры, которых мы заслужили


14:12 WINDOWS 10 РЕГИСТРИРУЕТ АКТИВНОСТЬ ПОЛЬЗОВАТЕЛЯ, ДАЖЕ ЕСЛИ ЭТА ОПЦИЯ ОТКЛЮЧЕНА


Обзор безопасности, новые вирусы, уязвимости в сети. Взлом и защита компьютера, хакерские атаки.