Уязвимость в механизме сброса паролей позволяет взломать любую учетную запись Facebook

Проблема заключается в алгоритме, применяемом соцсетью для генерации произвольных шестизначных паролей.




Исследователь из Калифорнии Гуркират Сингх (Gurkirat Singh) продемонстрировал простой метод взлома любой учетной записи Facebook, работающий в независимости от сложности установленного пароля и наличия дополнительной защиты.


Эксперт обнаружил уязвимость в механизме сброса паролей Facebook, проэксплуатировав которую злоумышленник может получить полный доступ к учетной записи любого пользователя и выполнять различные действия, в том числе просматривать сообщения и данные платежных карт, публиковать информацию и т.д. По словам Сингха, атака довольно проста по сути, но сложна в плане реализации.


Проблема заключается в алгоритме, применяемом соцсетью для генерации произвольных шестизначных паролей (1 млн возможных комбинаций). По словам Сингха, каждый раз система генерирует одни и те же пароли до тех пор, пока не будет использована вся база.


«Таким образом, если 1 млн пользователей в течение короткого периода времени отправят запросы на сброс пароля, 1,000,0001 человек получит код, который уже используется для какой-то учетной записи», - пояснил Сингх.


На первом этапе с помощью Facebook Graph API исследователь собрал базу валидных идентификаторов пользователей Facebook, начиная с 100,000,000,000,000. Используя страницу www.facebook.com/[ID], он смог составить список из 2 млн действительных логинов подписчиков соцресурса. Далее при помощи скрипта, сотен прокси и произвольных данных User Agent, Сингх инициировал автоматические запросы на сброс пароля для этих 2 млн пользователей и, выбрав один из полученных кодов (338625), осуществил брутфорс-атаку с целью подобрать комбинацию логин/338625. В результате эксперту удалось переустановить пароль и получить доступ к произвольной учетной записи Facebook.


Свои наработки Сингх передал специалистам Facebook. Руководство соцсети признало наличие проблемы и выплатило исследователю вознаграждение в размере всего $500, так как посчитало уязвимость недостаточно опасной.


Напомним, в марте нынешнего года эксперт Ананд Пракаш (Anand Prakash) сообщил о похожей уязвимости в механизме сброса паролей Facebook, позволяющей подобрать шестизначный код аутентификации при помощи метода брутфорс. 
Stfw.Ru
Читайте также


Оставить комментарий
Имя:  

Комментарий:

Компания Poptel официально представила свой новейший смартфон P60, наделенный современными характеристиками и усиленным корпусом. Актуальная начинка упакована в прочную оболочку с металлической рамкой и брутальным мужским дизайном.
Смартфон Poptel P60 надежно защищен от воды и падений
Смартфон P60 получил все примочки, которые могут быть у аппарата 2018 года: распознавание лиц, NFC-модуль для бесконтактных платежей, мощную двойную камеру на тыльной панели с поддержкой искусственного интеллекта и современную операционную систему от Google. Кроме того, в нем содержится очень много памяти, как оперативной, так и  постоянной, а его процессор от MediaTek щеголяет восемью вычислительными ядрами и минимальным энергопотреблением.
Смартфон Poptel P60 надежно защищен от воды и падений
Poptel P60 предложен в трех вариантах окраски – полностью черном, черном с зелеными и черном с оранжевыми акцентами. Его корпус имеет сертификаты соответствия стандартам безопасности IP67 и MIL-STD-810G, что позволяет ему не бояться падений с двухметровой высоты и пребывания под водой на метровой глубине до получаса. Ознакомиться с базовыми возможностями смартфона и его дизайном можно по видео на портале YouTube.
Смартфон Poptel P60 надежно защищен от воды и падений
Моноблок P60 пока не поступил в продажу – его релиз состоится немного позже, ближе к концу текущего года, и в дополнение к прочному герметичному корпусу производитель добавит ему еще и закаленное стекло Gorilla Glass, установлено поверх сенсорного экрана. Стоимость смартфона на данный момент не сообщается – ее производитель огласит ближе к моменту анонса. Известно лишь, что смартфон ориентирован на глобальный рынок, что выражается в поддержке сервисов Google и всех существующих сотовых сетей. Характеристики Poptel P60 представлены ниже.
- экран IPS, 5.7 дюйма, разрешение HD+;
- процессор MediaTek Helio P23;
- память 6 Гб RAM, 128 Гб ROM, microSD;
- основная фотокамера 16+5 Мп, режим замедленной съемки видео;
- прошивка Google Android 8.1 Oreo;
- LTE-модем, NFC-чип;
- два слота под SIM-карты, модули Bluetooth 4 и WI-FI 802.11ac;
- сканер отпечатков пальцев, распознавание лиц.


Примечание: При комментировании материала просим соблюдать законы Российской Федерации. Пожалуйста, воздержитесь от оскорблений и токсичного поведения.

Сводка событий

02:10 Сборная России завоевала шесть медалей в восьмой день ЮОИ в Аргентине


02:10 Россия перекрыла реэкспорт топлива из Белоруссии на Украину


02:10 Российский сыр стал лучшим во Франции


02:10 РПЦ разорвала отношения с Константинопольским патриархатом


02:10 Исторические параллели


16:10 Microsoft представила для китайского рынка Laptop 2 в эксклюзивном цвете


16:10 В цеху "АвтоВАЗа" год скрыто работала майнинговая ферма


16:10 ["We the People"] Депутат Киеврады Петр Кузик угодил в реанимацию из-за небрежного обращения с наградным пистолетом SIG Sauer: при попытке почистить оружие он прострелил себе живот


16:10 "Мы, как страна-наблюдатель, имеем право ........, если им это не нравится - их проблемы"("Амстердам потерял авторитет": Нидерланды обвинили Россию в провокациях на учениях НАТО в Арктике)


16:10 Основные характеристики Nubia X подтвердил Geekbench


16:10 Xiaomi представила умную музыкальную маску для сна за $35


16:10 Xiaomi Mi8 Lite выйдет в продажу за пределами Китая 11 ноября


11:10 Трамп проговорился о передаче Украине наступательного вооружения


Обзор безопасности, новые вирусы, уязвимости в сети. Взлом и защита компьютера, хакерские атаки.