Новости безопасности - Обзор безопасности, новые вирусы, уязвимости в сети. Взлом и защита компьютера, хакерские атаки.

Уязвимость в механизме сброса паролей позволяет взломать любую учетную запись Facebook

Stfw.Ru, Проблема заключается в алгоритме, применяемом соцсетью для генерации произвольных шестизначных паролей.




Исследователь из Калифорнии Гуркират Сингх (Gurkirat Singh) продемонстрировал простой метод взлома любой учетной записи Facebook, работающий в независимости от сложности установленного пароля и наличия дополнительной защиты.


Эксперт обнаружил уязвимость в механизме сброса паролей Facebook, проэксплуатировав которую злоумышленник может получить полный доступ к учетной записи любого пользователя и выполнять различные действия, в том числе просматривать сообщения и данные платежных карт, публиковать информацию и т.д. По словам Сингха, атака довольно проста по сути, но сложна в плане реализации.


Проблема заключается в алгоритме, применяемом соцсетью для генерации произвольных шестизначных паролей (1 млн возможных комбинаций). По словам Сингха, каждый раз система генерирует одни и те же пароли до тех пор, пока не будет использована вся база.


«Таким образом, если 1 млн пользователей в течение короткого периода времени отправят запросы на сброс пароля, 1,000,0001 человек получит код, который уже используется для какой-то учетной записи», - пояснил Сингх.


На первом этапе с помощью Facebook Graph API исследователь собрал базу валидных идентификаторов пользователей Facebook, начиная с 100,000,000,000,000. Используя страницу www.facebook.com/[ID], он смог составить список из 2 млн действительных логинов подписчиков соцресурса. Далее при помощи скрипта, сотен прокси и произвольных данных User Agent, Сингх инициировал автоматические запросы на сброс пароля для этих 2 млн пользователей и, выбрав один из полученных кодов (338625), осуществил брутфорс-атаку с целью подобрать комбинацию логин/338625. В результате эксперту удалось переустановить пароль и получить доступ к произвольной учетной записи Facebook.


Свои наработки Сингх передал специалистам Facebook. Руководство соцсети признало наличие проблемы и выплатило исследователю вознаграждение в размере всего $500, так как посчитало уязвимость недостаточно опасной.


Напомним, в марте нынешнего года эксперт Ананд Пракаш (Anand Prakash) сообщил о похожей уязвимости в механизме сброса паролей Facebook, позволяющей подобрать шестизначный код аутентификации при помощи метода брутфорс. 
Facebook, учетной, паролей, Сингх, произвольных, записи, пользователей, пароля, соцсетью, применяемом, заключается, генерации, алгоритме, шестизначных, помощи, Сингха, доступ, запросы, механизме, получить

Новости безопасности

. Уязвимость в механизме сброса паролей позволяет взломать любую учетную запись Facebook Проблема заключается в алгоритме, применяемом соцсетью для генерации произвольных шестизначных паролей.Проблема заключается в алгоритме, применяемом соцсетью для генерации произвольных шести
Комментировать могут только зарегистрированные жители Хабаровска.
>>> Ранее обещанные автономные гарнитуры виртуальной реальности, построенные на платформе Intel Project Alloy, не выйдут ни в этом, ни в следующем году. Точнее ...
>>> Форум "Интернет вещей": В Россию впервые приедут роботы RealDoll
Создатель RealDoll, CEO & Founder Realbotix Мэтт МакМаллен, а также ...
>>> Как Microsoft планирует уменьшать толщину Surface Pen для хранения его внутри корпуса Surface Pro
Surface Pen для Microsoft кажется обязательная и неотъемлемая часть ...
>>> В приложении Microsoft Store можно будет купить и устройства
На прошлой неделе для инсайдеров стало доступно обновление Windows ...


Редакция портала:

Благодарим за интерес к материалу Новости безопасности . Есть небольшая рекомендация, если вы хотите быть в курсе всех новостей и событий в сфере информационных технологий, то рекомендуем зарегистрироваться на портале stfw.ru.


Живая лента

19:09 Обзор игровой клавиатуры Cougar Vantar


19:09 SteamWorld Dig 2: еще глубже


19:09 Kingsman: The Golden Circle / «Kingsman: Золотое кольцо»


19:09 First They Killed My Father / «Сначала они убили моего отца»


19:09 Госэнергоэффективности: За последние 3 года в украинские проекты «зеленой» энергетики инвестировано порядка 700 млн евро


19:09 Всего за неделю число одновременно подключенных к майнеру для сайтов CoinHive пользователей превысило 2,2 млн человек, обеспечив производительность в 13,5 MH/s (5% всей сети Monero)


19:09 В результате сильнейшего падения акций Apple за 10 дней потеряла $50 млрд стоимости, всему виной низкий спрос на iPhone 8


19:09 Активы Imagination Technologies между собой поделили китайский и американский фонды


19:09 iFixit: iPhone 8 сложнее ремонтировать, чем модель предыдущего поколения


19:09 Убийца "Стелса": главные факты о новейшем истребителе Су-35 за 90 секунд


секис, 25, Москва, ищу: Парня от 18 до 56
Цель знакомства: Секс - 25 сентября 2017

Вероника, 27, Москва, ищу: Парня от 25 до 43
Цель знакомства: Создание семьи Ищу: Мужчину, с которым построим крепкие, доверительные и взаимные отношения... ... - 25 сентября 2017

Анна, 30, Москва, ищу: Парня от 28 до 35
Цель знакомства: Дружба и переписка - 25 сентября 2017