Непальський хакер очолив Зал слави, зламавши Facebook за 1 годину 👻🇳🇵
Непальський дослідник кібербезпеки Саміп Ар'ял увійшов в історію, виявивши вразливість у системі скидання пароля Facebook*, яка дозволяла зловмиснику заволодіти будь-яким обліковим записом без дій з боку жертви. Це відкриття принесло йому рекордну винагороду від компанії та найвищу позицію в Залі Слави Facebook серед білих хакерів за 2024 рік, але сума винагороди залишається невідомою.
Він виявив, що функція скидання пароля Facebook не мала обмеження за кількістю спроб запиту коду, що дозволяло проведення атак брутфорсом. Атакувальник міг надіслати запит на скидання пароля і підібрати 6-значний код безпеки.
Ар'ял встановив, що під час скидання пароля через Android Studio користувачеві пропонували отримати код безпеки через сповіщення на Facebook, який залишався дійсним упродовж двох годин навіть після кількох невдалих спроб введення. Використовуючи метод брутфорсу, Ар'ял зміг перевірити всі можливі комбінації кодів за годину.
Непальський дослідник кібербезпеки Саміп Ар'ял увійшов в історію, виявивши вразливість у системі скидання пароля Facebook*, яка дозволяла зловмиснику заволодіти будь-яким обліковим записом без дій з боку жертви. Це відкриття принесло йому рекордну винагороду від компанії та найвищу позицію в Залі Слави Facebook серед білих хакерів за 2024 рік, але сума винагороди залишається невідомою.
Він виявив, що функція скидання пароля Facebook не мала обмеження за кількістю спроб запиту коду, що дозволяло проведення атак брутфорсом. Атакувальник міг надіслати запит на скидання пароля і підібрати 6-значний код безпеки.
Ар'ял встановив, що під час скидання пароля через Android Studio користувачеві пропонували отримати код безпеки через сповіщення на Facebook, який залишався дійсним упродовж двох годин навіть після кількох невдалих спроб введення. Використовуючи метод брутфорсу, Ар'ял зміг перевірити всі можливі комбінації кодів за годину.