Проблема безпеки в одній з найпопулярніших соціальних мереж світу – Facebook була виявлена дослідником безпеки з Непалу, Саміпом Арьялом. Ця вразливість дозволяла зловмисникам одержати контроль над обліковими записами користувачів шляхом маніпулювання процесом скидання пароля.
Слабкі місця механізму скидання пароля:
- Тривалість дії коду: Код для скидання пароля залишався дійсним протягом двох годин, що давало достатньо часу для перебору шестизначного коду аутентифікації.
- Постійність коду: Один і той же код відправлявся щоразу протягом цього часу, що спрощує завдання зловмисникам.
- Можливість необмеженої кількості спроб: Зловмисник міг використовувати стільки неправильних кодів, скільки необхідно, відчиняючи двері для атак методом перебору.
Повідомлення про скидання пароля іноді поверталося у вигляді відкритого тексту, що робило процес захоплення облікового запису невидимим для реального власника облікового запису. В інших випадках повідомлення вимагало взаємодії з користувачем, що робило атаку складнішою, але не неможливою.
Після успішного злому облікового запису, зловмисник міг скинути пароль та отримати повний контроль над обліковим записом, включаючи можливість встановлення нового пароля та відключення багатофакторної автентифікації.
Facebook визнав вразливість та швидко реагував на неї. Соціальна мережа високо оцінила звіт Арьяла, включивши його до зали слави Facebook щодо боротьби з помилками. Вони також переглянули свою систему винагороди дослідників з безпеки з огляду на нові методи атаки.
Поради щодо безпеки для користувачів:
- Увімкніть багатофакторну автентифікацію для захисту вашого облікового запису.
- Будьте обережні при отриманні запитів на скидання пароля або інших підозрілих запитів, пов’язаних з вашим обліковим записом.
- Якщо є сумніви, виконайте процедуру скидання пароля самостійно та використовуйте надійні методи багатофакторної аутентифікації, такі як програми для автентифікації, замість SMS.
Вразливість у механізмах скидання паролів може призвести до серйозних наслідків для користувачів соціальних мереж. Виявлення та реагування на такі вразливості відіграють ключову роль у забезпеченні безпеки онлайн-платформ.
Джерело: Bitdefender
У разі виникнення додаткових питань, будь ласка, звертайтесь за електронною адресою sales@softico.ua або за телефоном +380 (44) 383 4410.