Хакеру вдалось знайти спосіб заламати всі облікові записи Facebook всього за 1 годину

Face­book заплатила рекордну суму фахівцеві за знаходження вразливості, яка давала доступ до будь-якого облікового запису. Непальський дослідник кібербезпеки Саміт Арьял увійшов в історію, виявивши вразливість у системі скидання пароля Face­book, яка дозволяла зловмиснику без жодних дій з боку жертви заволодіти будь-яким обліковим записом.

Відкриття не лише принесло Арьялу рекордну винагороду від компанії, а й найвищу позицію у Залі Слави Face­book серед білих хакерів за 2024 рік. Сума винагороди, однак, залишається невідомою.

Арьял виявив, що функція скидання пароля Face­book не мала обмеження кількості спроб запиту коду, що давало можливість проведення атак без участі користувача. Шахрай міг відправити запит на скидання пароля та методом брутфорсу підібрати 6‑значний код безпеки.

Дослідження Арьяла показало, що при скиданні пароля через Android Stu­dio користувачеві пропонувалося отримати код безпеки через повідомлення на Face­book, причому код залишався дійсним протягом двох годин, навіть якщо були зроблені невдалі спроби його введення. Арьял зазначив, що на відміну від скидання SMS, код не анулювався після кількох помилкових спроб.

Застосовуючи метод брутфорсу, Арьял зміг перевірити всі можливі комбінації кодів за годину, виявивши вразливість, що дозволяє відображати код безпосередньо у повідомленні без необхідності натискання на нього.

Нагадаємо — кіберфахівці компанії YX Inter­na­tion­al захистили вразливу базу даних, у якій містилися одноразові коди безпеки, що надають користувачам доступ до акаунтів Google, Face­book, Tik­Tok та інших техногігантів. Програмісти залишили одну зі своїх внутрішніх баз даних відкритою для доступу через інтернет без пароля. Це дало змогу будь-якому користувачеві отримати доступ до конфіденційних даних, використовуючи лише браузер — було достатньо знати лише про загальнодоступну IP-адресу бази даних.