The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость, позволявшая сменить пароль любого пользователя Facebook

09.03.2016 09:58

Исследователь безопасности Anand Prakash опубликовал показательный пример, когда банальный недосмотр привёл к наличию уязвимости, позволяющей сменить пароль любого пользователя Facebook. За выявленную проблему Facebook выплатил энтузиасту премию в размере 15 тысяч долларов США.

Проблема присутствовала в реализации интерфейса смены пароля на Facebook и уже исправлена. Для инициирования процесса смены пароля достаточно указать номер телефона или email, после чего на адрес пользователя будет отправлен код подтверждения, состоящий из шести цифр. После 10-12 неудачных попыток ввода код блокируется, поэтому в обычных условиях подобрать проверочный код невозможно.

Суть проблемы в том, что ограничение на число попыток ввода действовало только на основном сайте, а в экспериментальных разделах (beta.facebook.com, mbasic.beta.facebook.com), в которых проводится бета-тестирование новых возможностей социальной сети, число попыток не было ограничено. Без ограничений подбор кода из шести цифр является тривиальной задачей и занимает считанные секунды.



  1. Главная ссылка к новости (http://www.anandpraka.sh/2016/...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: facebook
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (21) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:54, 09/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >За выявленную проблему Facebook выплатил энтузиасту премию в размере 15 тысяч долларов США.
    >Без ограничений подбор кода из шести цифр является тривиальной задачей.

    Интересно, а сколько ему предложили-бы "темные" люди за такую уязвимость? За такую дыру сумма слишком минорная.

     
     
  • 2.6, Аноним (-), 12:22, 09/03/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Навряд ли много. Уязвимость и так бы со временем закрыли и сама проблема в общем то никуда не делать. Шесть цифр это тоже мало, можно тупо брутфорсить с ботнетов целый набор аккаунтов рандомом, вероятность угадывания на наборе от 1к-10к уже достаточно велика и фильтрами не блокируется.
     
  • 2.7, Ёда (?), 12:24, 09/03/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Темную чувствуешь ты сторону силу.
     
  • 2.16, sage (??), 19:27, 09/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Удаление любого Skype-аккаунта стоит 2000 рублей.
     
     
  • 3.26, Аноним (-), 13:12, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Удаление любого Skype-аккаунта стоит 2000 рублей.

    А когда выплаты за уязвимости нет - получается вот так. Это же Microsoft, у них всегда так.

     
  • 2.19, Аноним (-), 09:11, 10/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    согласен, сумма смешная. Злоумышленники бы заплатили намного больше.
     
  • 2.25, Аноним (-), 13:11, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Интересно, а сколько ему предложили-бы "темные" люди за такую уязвимость? За такую
    > дыру сумма слишком минорная.

    Ты же понимаешь что за такое ловить будут, всерьез. Риски.

     

  • 1.8, Аноним (-), 12:28, 09/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Зарегистрировался на Facebook, имя фейк, фото фейк, данные на страничке - фейк. Социалочки же, мало ли, сроки за ретвит, показательные процессы... Ну так вот, я зарегистрировался и пошёл на работу. "Вы пытаетесь зайти на сайт с необычного места. Для продолжения, введите свою дату рождения".

    Это. А на даты рождения тоже 12 попток?

     
     
  • 2.9, Michael Shigorin (ok), 12:41, 09/03/2016 [^] [^^] [^^^] [ответить]  
  • –7 +/
    > Зарегистрировался на Facebook, имя фейк, фото фейк, данные на страничке - фейк.
    > Социалочки же, мало ли, сроки за ретвит, показательные процессы...

    А потом некоторые удивляются, почему их сразу ботами считают...

    PS: хотя не, есть ещё один вариант -- последние пару лет на срок за ретвит можно напороться не только в турциях; если паспорт синенький, прошу прощения за наезд.

     
     
  • 3.12, andy (??), 15:12, 09/03/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > PS: хотя не, есть ещё один вариант -- последние пару лет на срок за ретвит можно
    > напороться не только в турциях; если паспорт синенький, прошу прощения за наезд.

    В России тоже можно срок получить, не тешь себя иллюзиями.

     
     
  • 4.15, _ (??), 18:45, 09/03/2016 [^] [^^] [^^^] [ответить]  
  • –12 +/
    За ретвит? Пример приведи или пи**ор. :)
     
     
  • 5.17, дауж (?), 19:47, 09/03/2016 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Google > житель Кемерово осуждён за ретвит. Не благодари
     
  • 5.22, Аноним (-), 12:58, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > За ретвит? Пример приведи или пи**ор. :)

    Поиск "россиянина уголовное дело репост" находит интересные вещи вида  http://newrussianmarkets.com/proisshestvie/rossiianin-vpervye-podal-isk-v-esp

    И тут не о пи**сах разговор. А о полноценном фашизме и репрессиях за инакомыслие.

     
     
  • 6.27, Другой Омномним (?), 20:30, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас Шигорин внезапно вспомнит правила и потрёт эту ветку за политоту - он не любит, когда приводят неудобные факты, не вписывающиеся в его уютненький маня-мирок.
     
  • 2.13, dimqua (ok), 16:15, 09/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Так сиди через Tor.
     
  • 2.14, Аноним (-), 16:18, 09/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    в вк пару месяцев не заходишь - он тоже в ауте: хто, ты откуда ты?
     
  • 2.24, Аноним (-), 13:07, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > вот, я зарегистрировался и пошёл на работу. "Вы пытаетесь зайти на
    > сайт с необычного места. Для продолжения, введите свою дату рождения".

    При желании тебя посадить товарищ майор довольно быстро получит твое настоящее имя от провайдера, работодателя, друзей или чей ты там IP адрес использовал. Поэтому рекомендуется перерегаться, научившись использовать прокси, tor или vpn.

    А как дату рождения можешь использовать epoch. Дарю идею.

     

  • 1.10, Аноним (10), 13:25, 09/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Спасибо этому мужику! Теперь понял как работает это программа!
     
     
  • 2.11, odity (ok), 14:01, 09/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    +1
     

  • 1.18, JodaMasterThe (ok), 20:47, 09/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О,это же вишмастер)
     
  • 1.20, Аноним (-), 01:02, 11/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > число попыток не было ограничено. Без ограничений подбор кода из шести цифр является тривиальной задачей и занимает считанные секунды.

    Помнится, в ранних "Одноклассниках" была полностью аналогичная дыра, хоть и не секунды это занимало, но отсилы час-другой.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру