ИБ-исследователь из Индии Ананд Пракаш (Anand Prakash) нашел серьезную уязвимость в системе сброса паролей в Facebook. Уже исправленный баг открывал возможность взлома любого из 1,1 млрд аккаунтов самой знаменитой соцсети предельно простым способом — брутфорс-атакой.

Пракаш сразу доложил о наличии проблемы в Facebook, получив премию в размере $15 тыс. в рамках программы Bug Bounty. По стандартам программы Facebook это довольно серьезная сумма, и получить такую премию смогли немногие.

Почему же Facebook так расщедрилась? Как объяснили представители соцсети, на размер выплаты повлияла величина потенциального ущерба в случае эксплуатации найденной уязвимости. Находка Пракаша обеспокоила бы многих пользователей Facebook, ценящих приватность и безопасность аккаунта. Пракаш оказался в правильное время в правильном месте и смог обратить внимание на проблему, незаметно лежащую «у всех на виду». Кроме того, он всегда был очень «плодовитым» охотником за багами.

Уязвимость содержалась в методе, используемом для самостоятельного восстановления пароля. «Для того чтобы получить доступ к аккаунту, нужен всего лишь логин жертвы», — поведал Пракаш.

В прошлом месяце Пракаш занимался поиском дыр в безопасности Facebook и отметил, что сайт разработчиков (beta.facebook.com), а также базовая версия самого сайта соцсети (mbasic.beta.facebook.com) используют иные настройки безопасности при восстановлении паролей.

Как объясняет Пракаш, каждый раз при попытке восстановления пароля пользователь имеет возможность ввести любой номер телефона или любой адрес электронной почты на специальной странице сброса пароля. Facebook отправляет шестизначный код на указанный телефон или email.

«Я пытался взломать брутфорсом шестизначный код, но система заблокировала меня после 10-12 попыток», — рассказывает Пракаш.

Но на beta.facebook.com и mbasic.beta.facebook.com этого не произошло. «В системе не были реализованы ограничения на частоту ввода пароля», — отметил исследователь. Таким образом, при помощи набора для пентестинга Burp Suite Пракаш без проблем взломал шестизначный код.

«Эксплойт простейший, — подчеркнул Пракаш. — Любой способен провернуть такую атаку. Все, что нужно, — это логин и запрос на восстановление пароля».

Представители Facebook тем не менее сообщили, что Пракаш наткнулся на временный баг, который содержался в системе в течение очень короткого времени.

Пракаш утверждает, что атаку он практиковал только на своем аккаунте. Обнаружив баг, он сразу же обратился к ИБ-команде Facebook, которая залатала дыру в течение нескольких часов.

«Одно из очевидных преимуществ программы Bug Bounty — это возможность находить проблемы безопасности до того, как они затронут пользователей. Мы рады наградить Ананда за этот замечательный отчет», — признал представитель Facebook.

Находка Пракаша заслужила похвалу от Алекса Стамоса (Alex Stamos), директора Facebook по безопасности. В своем твите он написал: «Прекрасный баг, Ананд. Ты заслужил $15 тыс.».

Это 90-й по счету баг, обнаруженный Пракашем в Facebook. Исследователь работает инженером по безопасности в «индийском Amazon» — компании Flipkart, расположенной в Бангалоре.

Категории: Уязвимости