Mail.RuПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
29 августа 2016, Источник: The Hacker News

Найден новый способ взлома аккаунтов в крупнейшей социальной сети

Гуркират Синх, калифорнийский эксперт в области кибербезопасности, обнаружил новый способ массового взлома аккаунтов в Facebook. Специалист утверждает, что от взлома не спасает ни сложный длинный пароль, ни двухфакторная авторизация.

Сломанный механизм

Чтобы восстановить пароль от Facebook, используется механизм, который обнуляет забытые пароли. Когда пользователь, который забыл пароль от аккаунта, делает соответствующий запрос, социальная сеть отправляет ему на почту письмо с шестизначным кодом, сгенерированным случайным образом.

Если запрос на смену пароля отправлять через mbasic.facebook.com, то полученный код не будет иметь срока годности. Если миллион человек одновременно решат поменять пароль, то для следующего пользователя сгенерируют такой же пароль, как для одного из первого миллиона.

Как взломать аккаунт в Facebook

Синх собрал базу аккаунтов Facebook, генерируя запросы к Facebook Graph API и перебирая пользователей с ID больше 100 трлн (10 в 14 степени). Кроме того, исследователь прикрепил к ID имена, ссылки на страницы и аватары пользователей – эта информация находится в открытом доступе.

Располагая базой из 2 млн записей, эксперт запустил скрипт, который сбрасывал пароли для каждой из них, а затем использовал одно и то же случайное число для смены пароля. В результате ему удалось сломать несколько аккаунтов и доказать, что метод действительно работает.

Хорошая новость

Исследователь передал описание уязвимости Facebook 3 мая, однако в компании не поверили, что такое возможно. Позднее Синх подкрепил заявление результатами своего эксперимента.

В ответ Facebook выпустила патч, который агрессивно фильтрует IP-адреса. Теперь описанным способом взломать аккаунты уже не получится.

Комментарии
1
Дмитрий Милютин
пока не заштопаю - никто и не сольет инфу
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Hi-Tech Mail.Ru
Apple iPhone 7 32GB
от43 600руб.
Apple iPhone 6S 32GB
от35 740руб.
Samsung Galaxy A5 (2016)
от17 700руб.
Apple iPhone SE 64GB
от31 000руб.
Meizu M3 Note 16GB
от9 490руб.
Samsung Galaxy S7 32GB
от32 500руб.
Xiaomi Redmi 3S Pro 32GB
от9 131руб.
Apple iPhone 7 128GB
от51 500руб.
Samsung Galaxy S7 Edge 32GB
от37 000руб.
Samsung Galaxy A3 (2016)
от14 000руб.
Подпишитесь на нас
Новости Hi-Tech Mail.Ru