Хакеру вдалось знайти спосіб заламати всі облікові записи Facebook всього за 1 годину

Facebook заплатила рекордну суму фахівцеві за знаходження вразливості, яка давала доступ до будь-якого облікового запису. Непальський дослідник кібербезпеки Саміт Арьял увійшов в історію, виявивши вразливість у системі скидання пароля Facebook, яка дозволяла зловмиснику без жодних дій з боку жертви заволодіти будь-яким обліковим записом.

Відкриття не лише принесло Арьялу рекордну винагороду від компанії, а й найвищу позицію у Залі Слави Facebook серед білих хакерів за 2024 рік. Сума винагороди, однак, залишається невідомою.

Арьял виявив, що функція скидання пароля Facebook не мала обмеження кількості спроб запиту коду, що давало можливість проведення атак без участі користувача. Шахрай міг відправити запит на скидання пароля та методом брутфорсу підібрати 6-значний код безпеки.

Дослідження Арьяла показало, що при скиданні пароля через Android Studio користувачеві пропонувалося отримати код безпеки через повідомлення на Facebook, причому код залишався дійсним протягом двох годин, навіть якщо були зроблені невдалі спроби його введення. Арьял зазначив, що на відміну від скидання SMS, код не анулювався після кількох помилкових спроб.

Застосовуючи метод брутфорсу, Арьял зміг перевірити всі можливі комбінації кодів за годину, виявивши вразливість, що дозволяє відображати код безпосередньо у повідомленні без необхідності натискання на нього.

Нагадаємо — кіберфахівці компанії YX International захистили вразливу базу даних, у якій містилися одноразові коди безпеки, що надають користувачам доступ до акаунтів Google, Facebook, TikTok та інших техногігантів. Програмісти залишили одну зі своїх внутрішніх баз даних відкритою для доступу через інтернет без пароля. Це дало змогу будь-якому користувачеві отримати доступ до конфіденційних даних, використовуючи лише браузер — було достатньо знати лише про загальнодоступну IP-адресу бази даних.