尼泊尔黑客1小时内入侵Facebook进入名人堂

阅读量41122

发布时间 : 2024-03-06 10:35:54

Facebook 向专家支付了创纪录的金额,以寻找可以访问任何帐户的漏洞。

尼泊尔网络安全研究人员 Sameep Aryal 创造了历史,他发现了Facebook 密码重置系统*中的一个漏洞,该漏洞允许攻击者在受害者无需采取任何行动的情况下接管任何帐户。

这一发现不仅为 Aryal 赢得了公司创纪录的奖金,而且还荣登Facebook 2024 年白帽黑客名人堂 榜首 。但奖励金额仍未知。

Aryal 发现Facebook 的密码重置功能对请求的次数没有限制,允许在没有用户干预的情况下进行攻击。攻击者可以发送重置密码的请求并使用暴力破解 6 位安全码。

Aryal 的研究 表明,通过 Android Studio 重置密码时,系统会通过 Facebook 通知提示用户接收安全代码,并且即使尝试输入失败,该代码也会在 2 小时内保持有效。Aryal 指出,与短信重置不同,代码在多次尝试失败后并未失效。

对于某些用户,代码显示在通知本身中(零点击),而在其他情况下,需要在单击通知后查看代码(一键)

通过暴力破解,Aryal 能够在一小时内测试所有可能的代码组合,识别出允许代码直接显示在通知中而无需单击的漏洞。Aryal 于 2024 年 1 月 30 日向 Facebook 报告了该缺陷,该问题于 2 月 2 日得到修复。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+16赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66