Na Facebooku można było zmienić hasło dowolnemu użytkownikowi – błąd warty $15 000

07 marca 2016, 19:40 | W biegu | komentarzy 5
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Całość okazała się niezmiernie prosta, wystarczyło znać adres e-mail lub nr telefonu podpięty pod konto ofiary:

The only condition would have been for the attacker to know the telephone number or email address associated with the target’s account.

Do resetu hasła na Facebooku wystarczy podanie 6 znakowego PINu (wysyłanego na nr telefonu lub e-mail), ale jak się można domyślić kilkukrotne podanie nieprawidłowego kodu kończy się blokadą… Ale nie na dwóch serwisach ‚beta’, na których udało się zresetować hasło do ‚normalnego’ konta na Facebooku.

Za zgłoszenie błędu Facebook wypłacił $15 000. Zastosowany brute-force na filmiku poniżej:

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Hary TwardaPala

    co to za soft na tym filmiku?

    Odpowiedz
    • burp pro – jest nawet to tego opis na sekuraku :]

      Odpowiedz
      • Hary TwardaPala

        Dziekuje Sekuraku!

        Odpowiedz
  2. Krzysiek

    Mam pytanie, nie znam się zbyt dobrze na websec, ale nie wydaje mi się by było to jakieś mega osiągnięcie, jeżeli koleś walił brute force, pytanie ską znał pierwsze 3 cyfry ?

    Odpowiedz
    • Pierwsze cyfry znał, bo kod dostał na maila (podatność testuje się wyłącznie na fejkowych, własnych kontach, aby zgarnąć nagrodę), a na cele pokazu nie będzie przecież milionem kombinacji leciał.

      Najważniejszy fakt z demo to to, że aplikacja/serwer zezwala na tyle/nieograniczoną liczbę prób i zostało to jasno przedstawione.

      Proste, żmudne, ale skuteczne.

      Odpowiedz

Odpowiedz na sekurak