Баг, позволяющий взломать любого пользователя, обошелся Facebook в $15 000

Разработчик Ананд Пракаш выяснил, что доступ к аккаунту любого пользователя можно получить очень простым способом.

Когда пользователь сбрасывает пароль к своему аккаунту, Facebook присылает на его телефон шестизначный PIN-код, который используется в качестве временного пароля во время сброса аккаунта. Обычно Facebook даёт не более десяти попыток на ввод этого PIN-кода, однако на сайте beta.facebook.com нет такой защиты. Этот сайт используется разработчиками соцсети для тестирования функций, которые затем могут появиться на Facebook у всех пользователей. Тем не менее, залогиниваться на Facebook можно и со страницы beta.facebook.com, а на ней число попыток при вводе временного пароля не ограничено.

Исследователь написал алгоритм, который последовательно подбирал все возможные шестизначные комбинации цифр и за несколько часов мог взломать любой аккаунт. Конечно, владелец страницы мог бы увидеть SMS с PIN-кодом и предпринять меры по защите своего аккаунта, но даже в этом случае можно найти время, когда «жертва» физически не сможет это сделать — например, в ночное время, когда она (или он) спит.

Баг оказался очень простым, способ его обхода при наличии навыков программирования можно было создать за несколько минут, однако Facebook высоко оценил находку Ананда Пракаша и наградил его премией в пятнадцать тысяч долларов США.

Пракаш говорит, что не использовал этот баг для взлома людей и экспериментировал лишь с принадлежащим ему аккаунтом, а сообщение об уязвимости сразу отправил разработчикам Facebook через специальную репорт-страницу White Hat. Баг был устранен моментально — уже на следующий день он получил письмо с благодарностью и сообщением, что указанная им уязвимость была закрыта. 

(function (w, d) { var host = "widget.admitad.com"; var js, id = host.replace(/[^a-z0-9]/g,''), ref = d.getElementsByTagName('script')[0]; if (d.getElementById(id)) {return;} window._adwid_config = {host: host}; js = d.createElement('script'); js.id = id; js.async = true; js.charset = 'utf-8'; js.src = '//' + host + '/js/widget.js?r' + ((new Date()).getTime()/3600000|0); ref.parentNode.insertBefore(js, ref); }(window, document)); window._adwid = window._adwid || []; window._adwid.push("c35bc9ea")