Исследователь информационной безопасности из Калифорнии Гуркират Сингх рассказал о новой методике взлома любого аккаунта в Facebook. Способ работает вне зависимости от того, насколько сложен установленный пароль, а также от наличия дополнительных защитных мер.
Эксперт нашел в механизме сброса паролей Facebook уязвимость, с помощью которой можно заполучить доступ к любому аккаунту и выполнять различные действия, включая просмотр сообщений и информации о платежных картах. Как утверждает Сингх, сама схема атаки по сути является простой, но ее реализация остается довольно сложной.
Источником проблемы является алгоритм, применяемый социальной сетью для создания произвольных паролей, состоящих из 6-ти знаков (1000000 возможных комбинаций). Как утверждает Сингх, система каждый раз пользуется одними и теми же паролями, пока вся база не будет исчерпана.
В результате, если 1000000 пользователей за короткий период времени отправит запросы на сброс пароля, то 1000001-й человек получит код, уже используемый для определенного аккаунта.
Сингх сообщил о проблеме разработчикам Facebook. Руководство социальной сети признало наличие уязвимости и заплатило эксперту премию в 500 долларов.