Facebook заплатила рекордную сумму специалисту за нахождение уязвимости, которая давала доступ к любому аккаунту.
Непальский исследователь кибербезопасности Самип Арьял вошел в историю, обнаружив уязвимость в системе сброса пароля Facebook*, которая позволяла злоумышленнику без всяких действий со стороны жертвы завладеть любой учетной записью.
Открытие не только принесло Арьялу рекордное вознаграждение от компании, но и высшую позицию в
https://www.facebook.com/whitehat/thanks среди белых хакеров за 2024 год. Сумма вознаграждения, однако, остается неизвестной.
Арьял выявил, что функция сброса пароля Facebook не имела ограничения по количеству попыток запроса кода, что давало возможность проведения атак без участия пользователя. Атакующий мог отправить запрос на сброс пароля и методом брутфорса подобрать 6-значный код безопасности.
Исследование Арьяла показало, что при сбросе пароля через Android Studio пользователю предлагалось получить код безопасности через уведомление на Facebook, причем код оставался действительным в течение 2-ух часов, даже если были предприняты неудачные попытки его ввода. Арьял отметил, что в отличие от сброса по SMS, код не аннулировался после нескольких ошибочных попыток.
Для некоторых пользователей код отображается в самом уведомлении (Zero Click), а в другом случае код нужно посмотреть после нажатия на уведомление (One Click)
Применяя метод брутфорса, Арьял смог проверить все возможные комбинации кодов за час, выявив уязвимость, позволяющую отображать код непосредственно в уведомлении без необходимости клика по нему. Арьял сообщил о недостатке Facebook 30 января 2024 года, и уже ко 2 февраля проблема была устранена.
Code:
https://infosecwriteups.com/0-click-account-takeover-on-facebook-e4120651e23e
04-07-2025, 10:49 PM
Threaded Mode