Уязвимость в Facebook позволяет взломать учетную запись любого пользователя

Исследователь безопасности Ананд Пракаш (Anand Prakash) обнаружил серьезную уязвимость в Facebook, позволяющую злоумышленнику получить доступ к любой учетной записи в социальной сети. Для эксплуатации уязвимости достаточно осуществить обыкновенную брутфорс-атаку.

Ошибка была обнаружена в механизме сброса паролей на сайте Facebook для разработчиков (http://beta.facebook.com) и упрощенной версии ресурса (http://mbasic.beta.facebook.com). Как оказалось, на сайтах отсутствовала защита от брутфорс-атак, и исследователь смог подобрать шестизначный код двухфакторной аутентификации.

Исследователь попытался раскрыть шестизначный код на основном сайте Facebook, но после 10-12 неверных вводов система безопасности блокировала дальнейшие попытки входа. На упрощенной и бета-версии сайта подобное ограничение отсутствовало, и Пракаш смог подобрать код безопасности, проведя брутфорс-атаку с помощью ПО Burp Suite.

По словам представителей Facebook, Пракаш обнаружил временную ошибку, успевшую просуществовать лишь короткий промежуток времени. Уязвимость была немедленно устранена. Администрация Facebook выплатила исследователю $15 тысяч.