Рубрикатор |
Все новости | Новости отрасли |
Найден новый способ взлома аккаунтов в крупнейшей социальной сети
29 августа 2016 |
Гуркират Синх, калифорнийский эксперт в области кибербезопасности, обнаружил новый способ массового взлома аккаунтов в Facebook. Специалист утверждает, что от взлома не спасает ни сложный длинный пароль, ни двухфакторная авторизация.
Чтобы восстановить пароль от Facebook, используется механизм, который обнуляет забытые пароли. Когда пользователь, который забыл пароль от аккаунта, делает соответствующий запрос, социальная сеть отправляет ему на почту письмо с шестизначным кодом, сгенерированным случайным образом.
Вариантов шестизначных цифровых кодов всего миллион – немного по меркам взломщиков, сообщает Hi-Tech@Mail.ru.
Если запрос на смену пароля отправлять через mbasic.facebook.com, то полученный код не будет иметь срока годности. Если миллион человек одновременно решат поменять пароль, то для следующего пользователя сгенерируют такой же пароль, как для одного из первого миллиона.
Синх собрал базу аккаунтов Facebook, генерируя запросы к Facebook Graph API и перебирая пользователей с ID больше 100 трлн (10 в 14 степени). Кроме того, исследователь прикрепил к ID имена, ссылки на страницы и аватары пользователей – эта информация находится в открытом доступе.
Располагая базой из 2 млн записей, эксперт запустил скрипт, который сбрасывал пароли для каждой из них, а затем использовал одно и то же случайное число для смены пароля. В результате ему удалось сломать несколько аккаунтов и доказать, что метод действительно работает.
Исследователь передал описание уязвимости Facebook 3 мая, однако в компании не поверили, что такое возможно. Позднее Синх подкрепил заявление результатами своего эксперимента.
В ответ Facebook выпустила патч, который агрессивно фильтрует IP-адреса. Теперь описанным способом взломать аккаунты уже не получится.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.