Уязвимость в механизме сброса паролей позволяет взломать любую учетную запись Facebook

Проблема заключается в алгоритме, применяемом соцсетью для генерации произвольных шестизначных паролей.




Исследователь из Калифорнии Гуркират Сингх (Gurkirat Singh) продемонстрировал простой метод взлома любой учетной записи Facebook, работающий в независимости от сложности установленного пароля и наличия дополнительной защиты.


Эксперт обнаружил уязвимость в механизме сброса паролей Facebook, проэксплуатировав которую злоумышленник может получить полный доступ к учетной записи любого пользователя и выполнять различные действия, в том числе просматривать сообщения и данные платежных карт, публиковать информацию и т.д. По словам Сингха, атака довольно проста по сути, но сложна в плане реализации.


Проблема заключается в алгоритме, применяемом соцсетью для генерации произвольных шестизначных паролей (1 млн возможных комбинаций). По словам Сингха, каждый раз система генерирует одни и те же пароли до тех пор, пока не будет использована вся база.


«Таким образом, если 1 млн пользователей в течение короткого периода времени отправят запросы на сброс пароля, 1,000,0001 человек получит код, который уже используется для какой-то учетной записи», - пояснил Сингх.


На первом этапе с помощью Facebook Graph API исследователь собрал базу валидных идентификаторов пользователей Facebook, начиная с 100,000,000,000,000. Используя страницу www.facebook.com/[ID], он смог составить список из 2 млн действительных логинов подписчиков соцресурса. Далее при помощи скрипта, сотен прокси и произвольных данных User Agent, Сингх инициировал автоматические запросы на сброс пароля для этих 2 млн пользователей и, выбрав один из полученных кодов (338625), осуществил брутфорс-атаку с целью подобрать комбинацию логин/338625. В результате эксперту удалось переустановить пароль и получить доступ к произвольной учетной записи Facebook.


Свои наработки Сингх передал специалистам Facebook. Руководство соцсети признало наличие проблемы и выплатило исследователю вознаграждение в размере всего $500, так как посчитало уязвимость недостаточно опасной.


Напомним, в марте нынешнего года эксперт Ананд Пракаш (Anand Prakash) сообщил о похожей уязвимости в механизме сброса паролей Facebook, позволяющей подобрать шестизначный код аутентификации при помощи метода брутфорс. 
Stfw.Ru
Читайте также


Оставить комментарий
Имя:  

Комментарий:

Примечание: При комментировании материала просим соблюдать законы Российской Федерации. Пожалуйста, воздержитесь от оскорблений и токсичного поведения.

Сводка событий

14:08 Vodafone Украина запустил 4G в диапазоне 1800 МГц в Мариуполе


14:08 Sony стала лидером рынка полнокадровых камер США


14:08 «Прощай, месячная абонплата»: Все крупные мобильные операторы Украины, включая Киевстар, Vodafone и lifecell, переходят на 28-дневную тарификацию припейд-тарифов


14:08 На Skip Ahead доступна сборка Windows 10 18219 (19H1)


14:08 Poptel P10 – смартфон в бронированном корпусе со скидкой в GearBest


14:08 Товарищ Император вздрогнул": Ведущая из США приписала Японии коммунистическое прошлое


14:08 Сто лет назад. Американские войска высадились в Сибири


14:08 Совет директоров "РусАла" одобрил смену юрисдикции с острова Джерси на РФ


14:08 Лукашенко наградил Кадырова орденом Дружбы народов


14:08 КНДР потребовала от США подписать мирный договор


14:08 К 2050 году от инфекций будут умирать чаще чем от рака (ВОЗ сообщила о резком росте устойчивости микробов к антибиотикам)


14:08 HMD Global приглашает на презентацию смартфона. Nokia 9?


11:08 Сотрудники Google воспротивились разработке поисковика с цензурой для Китая. Но Брин и Пичаи, похоже, уже все уладили


Обзор безопасности, новые вирусы, уязвимости в сети. Взлом и защита компьютера, хакерские атаки.