Как это работало
При восстановлении доступа к аккаунту Facebook отправляет на привязанный к нему номер телефона одноразовый шестизначный код. Если ввести неверный код десять раз подряд, аккаунт блокируется, возможность входа в него закрывается.
Однако так система безопасности работает только на основном домене, facebook.com. Если то же самое делать на beta.facebook.com, то ограничения на количество попыток ввода пароля нет.
Дыр полно!
Уязвимость, найденная Пракашем, считается несложной. Сейчас получить доступ к чужому Faceboook-аккаунту путем перебора всех шестизначных кодов уже нельзя – разработчики устранили эту проблему.
Всего же с 2011 года Facebook за поиск уязвимостей выплатила порядка 4,3 млн долларов. Эксперты отмечают, что все дыры в системе обнаружить невозможно, однако для программистов, специалистов по тестированию программного обеспечения и просто энтузиастов гонорары за найденные уязвимости могут стать неплохим источником дохода.
Поделитесь новостью с друзьями – это интересно! Кнопки ниже.