Новости безопасности - Обзор безопасности, новые вирусы, уязвимости в сети. Взлом и защита компьютера, хакерские атаки.

Уязвимость в механизме сброса паролей позволяет взломать любую учетную запись Facebook

Stfw.Ru, Проблема заключается в алгоритме, применяемом соцсетью для генерации произвольных шестизначных паролей.




Исследователь из Калифорнии Гуркират Сингх (Gurkirat Singh) продемонстрировал простой метод взлома любой учетной записи Facebook, работающий в независимости от сложности установленного пароля и наличия дополнительной защиты.


Эксперт обнаружил уязвимость в механизме сброса паролей Facebook, проэксплуатировав которую злоумышленник может получить полный доступ к учетной записи любого пользователя и выполнять различные действия, в том числе просматривать сообщения и данные платежных карт, публиковать информацию и т.д. По словам Сингха, атака довольно проста по сути, но сложна в плане реализации.


Проблема заключается в алгоритме, применяемом соцсетью для генерации произвольных шестизначных паролей (1 млн возможных комбинаций). По словам Сингха, каждый раз система генерирует одни и те же пароли до тех пор, пока не будет использована вся база.


«Таким образом, если 1 млн пользователей в течение короткого периода времени отправят запросы на сброс пароля, 1,000,0001 человек получит код, который уже используется для какой-то учетной записи», - пояснил Сингх.


На первом этапе с помощью Facebook Graph API исследователь собрал базу валидных идентификаторов пользователей Facebook, начиная с 100,000,000,000,000. Используя страницу www.facebook.com/[ID], он смог составить список из 2 млн действительных логинов подписчиков соцресурса. Далее при помощи скрипта, сотен прокси и произвольных данных User Agent, Сингх инициировал автоматические запросы на сброс пароля для этих 2 млн пользователей и, выбрав один из полученных кодов (338625), осуществил брутфорс-атаку с целью подобрать комбинацию логин/338625. В результате эксперту удалось переустановить пароль и получить доступ к произвольной учетной записи Facebook.


Свои наработки Сингх передал специалистам Facebook. Руководство соцсети признало наличие проблемы и выплатило исследователю вознаграждение в размере всего $500, так как посчитало уязвимость недостаточно опасной.


Напомним, в марте нынешнего года эксперт Ананд Пракаш (Anand Prakash) сообщил о похожей уязвимости в механизме сброса паролей Facebook, позволяющей подобрать шестизначный код аутентификации при помощи метода брутфорс. 
Facebook, учетной, паролей, Сингх, произвольных, записи, пользователей, пароля, соцсетью, применяемом, заключается, генерации, алгоритме, шестизначных, помощи, Сингха, доступ, запросы, механизме, получить

Редакция:

Благодарим за интерес к рубрике Новости безопасности - рекомендуем подписаться на портал Stfw.ru.