The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимость, позволявшая сменить пароль любого пользователя F..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость, позволявшая сменить пароль любого пользователя F..."  +/
Сообщение от opennews (??) on 09-Мрт-16, 11:54 
Исследователь безопасность Anand Prakash опубликовал (http://www.anandpraka.sh/2016/03/how-i-could-have-hacked-you...) показательный пример, когда банальный недосмотр привёл к наличию уязвимости, позволяющей сменить пароль любого пользователя Facebook. За выявленную проблему Facebook выплатил энтузиасту премию в размере 15 тысяч долларов США.


Проблема присутствовала в реализации интерфейса смены пароля на Facebook и уже исправлена. Для инициирования процесса смены пароля достаточно указать номер телефона или email, после чего на адрес пользователя будет отправлен код подтверждения, состоящий из шести цифр. После 10-12 неудачных попыток ввода код блокируется, поэтому в обычных условиях подобрать проверочный код невозможно.


Суть проблемы в том, что ограничение на число попыток ввода действовало только на основном сайте, а в экспериментальных разделах (beta.facebook.com, mbasic.beta.facebook.com), в которых проводится бета-тестирование новых возможностей социальной сети, число попыток не было ограничено. Без ограничений подбор кода из шести цифр является тривиальной задачей.

<center><iframe width="640" height="360" src="https://www.youtube.com/embed/U3Of-jF1nWo?rel=0" frameborder="0" allowfullscreen></iframe></center>

URL: http://www.anandpraka.sh/2016/03/how-i-could-have-hacked-you...
Новость: http://www.opennet.me/opennews/art.shtml?num=44011

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимость, позволявшая сменить пароль любого пользователя F..."  +1 +/
Сообщение от Аноним (??) on 09-Мрт-16, 11:54 
>За выявленную проблему Facebook выплатил энтузиасту премию в размере 15 тысяч долларов США.
>Без ограничений подбор кода из шести цифр является тривиальной задачей.

Интересно, а сколько ему предложили-бы "темные" люди за такую уязвимость? За такую дыру сумма слишком минорная.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Уязвимость, позволявшая сменить пароль любого пользователя F..."  +3 +/
Сообщение от Аноним (??) on 09-Мрт-16, 12:22 
Навряд ли много. Уязвимость и так бы со временем закрыли и сама проблема в общем то никуда не делать. Шесть цифр это тоже мало, можно тупо брутфорсить с ботнетов целый набор аккаунтов рандомом, вероятность угадывания на наборе от 1к-10к уже достаточно велика и фильтрами не блокируется.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "Уязвимость, позволявшая сменить пароль любого пользователя F..."  +3 +/
Сообщение от Ёда on 09-Мрт-16, 12:24 
Темную чувствуешь ты сторону силу.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

16. "Уязвимость, позволявшая сменить пароль любого пользователя F..."  +/
Сообщение от sage (??) on 09-Мрт-16, 19:27 
Удаление любого Skype-аккаунта стоит 2000 рублей.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

26. "Уязвимость, позволявшая сменить пароль любого пользователя F..."  +/
Сообщение от Аноним (??) on 11-Мрт-16, 13:12 
> Удаление любого Skype-аккаунта стоит 2000 рублей.

А когда выплаты за уязвимости нет - получается вот так. Это же Microsoft, у них всегда так.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Уязвимость, позволявшая сменить пароль любого пользователя F..."  +/
Сообщение от Аноним (??) on 10-Мрт-16, 09:11 
согласен, сумма смешная. Злоумышленники бы заплатили намного больше.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

25. "Уязвимость, позволявшая сменить пароль любого пользователя F..."  +/
Сообщение от Аноним (??) on 11-Мрт-16, 13:11 
> Интересно, а сколько ему предложили-бы "темные" люди за такую уязвимость? За такую
> дыру сумма слишком минорная.

Ты же понимаешь что за такое ловить будут, всерьез. Риски.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Уязвимость, позволявшая сменить пароль любого пользователя F..."  –3 +/
Сообщение от Аноним (??) on 09-Мрт-16, 12:28 
Зарегистрировался на Facebook, имя фейк, фото фейк, данные на страничке - фейк. Социалочки же, мало ли, сроки за ретвит, показательные процессы... Ну так вот, я зарегистрировался и пошёл на работу. "Вы пытаетесь зайти на сайт с необычного места. Для продолжения, введите свою дату рождения".

Это. А на даты рождения тоже 12 попток?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Уязвимость, позволявшая сменить пароль любого пользователя F..."  –7 +/
Сообщение от Michael Shigorin email(ok) on 09-Мрт-16, 12:41 
> Зарегистрировался на Facebook, имя фейк, фото фейк, данные на страничке - фейк.
> Социалочки же, мало ли, сроки за ретвит, показательные процессы...

А потом некоторые удивляются, почему их сразу ботами считают...

PS: хотя не, есть ещё один вариант -- последние пару лет на срок за ретвит можно напороться не только в турциях; если паспорт синенький, прошу прощения за наезд.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Уязвимость, позволявшая сменить пароль любого пользователя F..."  +4 +/
Сообщение от andy (??) on 09-Мрт-16, 15:12 
> PS: хотя не, есть ещё один вариант -- последние пару лет на срок за ретвит можно
> напороться не только в турциях; если паспорт синенький, прошу прощения за наезд.

В России тоже можно срок получить, не тешь себя иллюзиями.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

15. "Уязвимость, позволявшая сменить пароль любого пользователя F..."  –12 +/
Сообщение от _ (??) on 09-Мрт-16, 18:45 
За ретвит? Пример приведи или пи**ор. :)
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "Уязвимость, позволявшая сменить пароль любого пользователя F..."  +7 +/
Сообщение от дауж on 09-Мрт-16, 19:47 
Google > житель Кемерово осуждён за ретвит. Не благодари
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

22. "Уязвимость, позволявшая сменить пароль любого пользователя F..."  +/
Сообщение от Аноним (??) on 11-Мрт-16, 12:58 
> За ретвит? Пример приведи или пи**ор. :)

Поиск "россиянина уголовное дело репост" находит интересные вещи вида  http://newrussianmarkets.com/proisshestvie/rossiianin-vpervy...

И тут не о пи**сах разговор. А о полноценном фашизме и репрессиях за инакомыслие.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

27. "Уязвимость, позволявшая сменить пароль любого пользователя F..."  +/
Сообщение от Другой Омномним on 11-Мрт-16, 20:30 
Сейчас Шигорин внезапно вспомнит правила и потрёт эту ветку за политоту - он не любит, когда приводят неудобные факты, не вписывающиеся в его уютненький маня-мирок.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

13. "Уязвимость, позволявшая сменить пароль любого пользователя F..."  +/
Сообщение от dimqua (ok) on 09-Мрт-16, 16:15 
Так сиди через Tor.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "Уязвимость, позволявшая сменить пароль любого пользователя F..."  +/
Сообщение от Аноним (??) on 09-Мрт-16, 16:18 
в вк пару месяцев не заходишь - он тоже в ауте: хто, ты откуда ты?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

24. "Уязвимость, позволявшая сменить пароль любого пользователя F..."  +/
Сообщение от Аноним (??) on 11-Мрт-16, 13:07 
> вот, я зарегистрировался и пошёл на работу. "Вы пытаетесь зайти на
> сайт с необычного места. Для продолжения, введите свою дату рождения".

При желании тебя посадить товарищ майор довольно быстро получит твое настоящее имя от провайдера, работодателя, друзей или чей ты там IP адрес использовал. Поэтому рекомендуется перерегаться, научившись использовать прокси, tor или vpn.

А как дату рождения можешь использовать epoch. Дарю идею.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Уязвимость, позволявшая сменить пароль любого пользователя F..."  +1 +/
Сообщение от Аноним email(??) on 09-Мрт-16, 13:25 
Спасибо этому мужику! Теперь понял как работает это программа!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Уязвимость, позволявшая сменить пароль любого пользователя F..."  +/
Сообщение от odity (ok) on 09-Мрт-16, 14:01 
+1
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

18. "Уязвимость, позволявшая сменить пароль любого пользователя F..."  +/
Сообщение от JodaMasterThe (ok) on 09-Мрт-16, 20:47 
О,это же вишмастер)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Уязвимость, позволявшая сменить пароль любого пользователя F..."  +/
Сообщение от Аноним (??) on 11-Мрт-16, 01:02 
> число попыток не было ограничено. Без ограничений подбор кода из шести цифр является тривиальной задачей и занимает считанные секунды.

Помнится, в ранних "Одноклассниках" была полностью аналогичная дыра, хоть и не секунды это занимало, но отсилы час-другой.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру