The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

09.03.2016 09:58  Уязвимость, позволявшая сменить пароль любого пользователя Facebook

Исследователь безопасности Anand Prakash опубликовал показательный пример, когда банальный недосмотр привёл к наличию уязвимости, позволяющей сменить пароль любого пользователя Facebook. За выявленную проблему Facebook выплатил энтузиасту премию в размере 15 тысяч долларов США.

Проблема присутствовала в реализации интерфейса смены пароля на Facebook и уже исправлена. Для инициирования процесса смены пароля достаточно указать номер телефона или email, после чего на адрес пользователя будет отправлен код подтверждения, состоящий из шести цифр. После 10-12 неудачных попыток ввода код блокируется, поэтому в обычных условиях подобрать проверочный код невозможно.

Суть проблемы в том, что ограничение на число попыток ввода действовало только на основном сайте, а в экспериментальных разделах (beta.facebook.com, mbasic.beta.facebook.com), в которых проводится бета-тестирование новых возможностей социальной сети, число попыток не было ограничено. Без ограничений подбор кода из шести цифр является тривиальной задачей и занимает считанные секунды.



  1. Главная ссылка к новости (http://www.anandpraka.sh/2016/...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: facebook
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 11:54, 09/03/2016 [ответить] [смотреть все]
  • +1 +/
    Интересно, а сколько ему предложили-бы темные люди за такую уязвимость За так... весь текст скрыт [показать]
     
     
  • 2.6, Аноним, 12:22, 09/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Навряд ли много Уязвимость и так бы со временем закрыли и сама проблема в общем... весь текст скрыт [показать] [показать ветку]
     
  • 2.7, Ёда, 12:24, 09/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Темную чувствуешь ты сторону силу.
     
  • 2.16, sage, 19:27, 09/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Удаление любого Skype-аккаунта стоит 2000 рублей.
     
     
  • 3.26, Аноним, 13:12, 11/03/2016 [^] [ответить] [смотреть все]  
  • +/
    А когда выплаты за уязвимости нет - получается вот так Это же Microsoft, у них ... весь текст скрыт [показать]
     
  • 2.19, Аноним, 09:11, 10/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    согласен, сумма смешная. Злоумышленники бы заплатили намного больше.
     
  • 2.25, Аноним, 13:11, 11/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ты же понимаешь что за такое ловить будут, всерьез Риски ... весь текст скрыт [показать] [показать ветку]
     
  • 1.8, Аноним, 12:28, 09/03/2016 [ответить] [смотреть все]  
  • –3 +/
    Зарегистрировался на Facebook, имя фейк, фото фейк, данные на страничке - фейк ... весь текст скрыт [показать]
     
     
  • 2.9, Michael Shigorin, 12:41, 09/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –7 +/
    А потом некоторые удивляются, почему их сразу ботами считают PS хотя не, ест... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.12, andy, 15:12, 09/03/2016 [^] [ответить] [смотреть все]  
  • +4 +/
    В России тоже можно срок получить, не тешь себя иллюзиями ... весь текст скрыт [показать]
     
     
  • 4.15, _, 18:45, 09/03/2016 [^] [ответить] [смотреть все]  
  • –12 +/
    За ретвит? Пример приведи или пи**ор. :)
     
     
  • 5.17, дауж, 19:47, 09/03/2016 [^] [ответить] [смотреть все]  
  • +7 +/
    Google > житель Кемерово осуждён за ретвит. Не благодари
     
  • 5.22, Аноним, 12:58, 11/03/2016 [^] [ответить] [смотреть все]  
  • +/
    Поиск россиянина уголовное дело репост находит интересные вещи вида http ne... весь текст скрыт [показать]
     
     
  • 6.27, Другой Омномним, 20:30, 11/03/2016 [^] [ответить] [смотреть все]  
  • +/
    Сейчас Шигорин внезапно вспомнит правила и потрёт эту ветку за политоту - он не ... весь текст скрыт [показать]
     
  • 2.13, dimqua, 16:15, 09/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Так сиди через Tor.
     
  • 2.14, Аноним, 16:18, 09/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    в вк пару месяцев не заходишь - он тоже в ауте: хто, ты откуда ты?
     
  • 2.24, Аноним, 13:07, 11/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    При желании тебя посадить товарищ майор довольно быстро получит твое настоящее и... весь текст скрыт [показать] [показать ветку]
     
  • 1.10, Аноним, 13:25, 09/03/2016 [ответить] [смотреть все]  
  • +1 +/
    Спасибо этому мужику! Теперь понял как работает это программа!
     
     
  • 2.11, odity, 14:01, 09/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    +1
     
  • 1.18, JodaMasterThe, 20:47, 09/03/2016 [ответить] [смотреть все]  
  • +/
    О,это же вишмастер)
     
  • 1.20, Аноним, 01:02, 11/03/2016 [ответить] [смотреть все]  
  • +/
    Помнится, в ранних Одноклассниках была полностью аналогичная дыра, хоть и не с... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor