Серьезная уязвимость в системе безопасности Facebook была выявлена программистом Анандом Пракашем.
Специалист рассказал, каким образом злоумышленник может неограниченное количество раз осуществлять ввод кода для восстановления доступа к учетной записи. Спустя 8 дней после обращения Пракаша к Facebook компания заплатила ему 15000 долларов.
Если пользователь хочет восстановить доступ к своему аккаунту, то Facebook пересылает одноразовый шестизначный код на номер телефона, который привязан к учетной записи. После десяти неудачных попыток ввода неверного кода учетная запись блокируется.
Но система безопасности работает корректно лишь на основном домене – facebook.com. В случае с beta.facebook.com количество попыток ввода пароля не ограничено.
Разработчики ликвидировали уязвимость, выявленную Пракашем, поэтому теперь уже невозможно получить доступ к чужой учетной записи в Facebook путем перебора всех шестизначных кодов.
Начиная с 2011 года, компания Facebook выплатила вознаграждения за найденные уязвимости на общую сумму около 4300000 долларов. По словам экспертов, невозможно обнаружить все бреши в системе, но гонорары за выявленные уязвимости могут быть хорошим источником дохода для исследователей информационной безопасности.