Непальский исследователь кибербезопасности Самип Арьял вошел в историю, обнаружив уязвимость в системе сброса пароля Facebook*, которая позволяла злоумышленнику без всяких действий со стороны жертвы завладеть любой учетной записью.
Открытие не только принесло Арьялу рекордное вознаграждение от компании, но и высшую позицию в Зале Славы Facebook среди белых хакеров за 2024 год. Сумма вознаграждения, однако, остается неизвестной.
Арьял выявил, что функция сброса пароля Facebook не имела ограничения по количеству попыток запроса кода, что давало возможность проведения атак без участия пользователя. Атакующий мог отправить запрос на сброс пароля и методом брутфорса подобрать 6-значный код безопасности.
Исследование Арьяла показало, что при сбросе пароля через Android Studio пользователю предлагалось получить код безопасности через уведомление на Facebook, причем код оставался действительным в течение 2-ух часов, даже если были предприняты неудачные попытки его ввода. Арьял отметил, что в отличие от сброса по SMS, код не аннулировался после нескольких ошибочных попыток.
Применяя метод брутфорса, Арьял смог проверить все возможные комбинации кодов за час, выявив уязвимость, позволяющую отображать код непосредственно в уведомлении без необходимости клика по нему. Арьял сообщил о недостатке Facebook 30 января 2024 года, и уже ко 2 февраля проблема была устранена.
Открытие не только принесло Арьялу рекордное вознаграждение от компании, но и высшую позицию в Зале Славы Facebook среди белых хакеров за 2024 год. Сумма вознаграждения, однако, остается неизвестной.
Арьял выявил, что функция сброса пароля Facebook не имела ограничения по количеству попыток запроса кода, что давало возможность проведения атак без участия пользователя. Атакующий мог отправить запрос на сброс пароля и методом брутфорса подобрать 6-значный код безопасности.
Исследование Арьяла показало, что при сбросе пароля через Android Studio пользователю предлагалось получить код безопасности через уведомление на Facebook, причем код оставался действительным в течение 2-ух часов, даже если были предприняты неудачные попытки его ввода. Арьял отметил, что в отличие от сброса по SMS, код не аннулировался после нескольких ошибочных попыток.
Применяя метод брутфорса, Арьял смог проверить все возможные комбинации кодов за час, выявив уязвимость, позволяющую отображать код непосредственно в уведомлении без необходимости клика по нему. Арьял сообщил о недостатке Facebook 30 января 2024 года, и уже ко 2 февраля проблема была устранена.