В прошлом месяце специалист по информационной безопасности Ананд Пракаш обнаружил серьёзнейшую уязвимость в системе безопасности Facebook.
Она эксплуатируется следующим образом:
Когда пользователь сбрасывает пароль к своему аккаунту, Facebook присылает на его телефон шестизначный PIN-код, который используется в качестве временного пароля во время сброса аккаунта. Обычно Facebook даёт не более десяти попыток на ввод этого PIN-кода, однако на сайте beta.facebook.com нет такой защиты. Этот сайт используется разработчиками соцсети для тестирования функций, которые затем могут появиться на Facebook у всех пользователей. Тем не менее, залогиниваться на Facebook можно и со страницы beta.facebook.com, а на ней число попыток при вводе временного пароля не ограничено. Ананд Пракаш предположил, что этот баг позволит ему подобрать пароль к сброшенному аккаунту методом брут-форса и он не ошибся.
Исследователь написал алгоритм, который последовательно подбирал все возможные шестизначные комбинации цифр и за несколько часов мог взломать любой аккаунт. Конечно, владелец страницы мог бы увидеть SMS с PIN-кодом и предпринять меры по защите своего аккаунта, но даже в этом случае можно найти время, когда «жертва» физические не сможет это сделать — например, в ночное время, когда она (или он) спит.
Эксплуатирование бага наглядным образом показано на видео ниже:
https://youtu.be/U3Of-jF1nWo
Баг оказался очень простым, способ его обхода при наличии навыков программирования можно было создать за несколько минут, однако Facebook высоко оценил находку Ананда Пракаша и наградил его премией в пятнадцать тысяч долларов США. Пракаш говорит, что не использовал этот баг для взлома людей и экспериментировал лишь с принадлежащим ему аккаунтом, а сообщение об уязвимости сразу отправил разработчикам Facebook через специальную репорт-страницу White Hat. Баг был устранен моментально — уже на следующий день он получил письмо с благодарностью и сообщением, что указанная им уязвимость была закрыта.
Facebook принимает сообщения о бага от обычных пользователей с 2011 года. Всего с народной помощью в соцсети было закрыто более восьмисот уязвимостей разной степени опасности, а Facebook потратил на выплаты в рамках программы White Hat около 4,3 миллиона долларов США. Сумма выплаты каждый раз высчитывается индивидуально и зависит от потенциальной опасности бага и некоторых других факторов.
