尼泊尔黑客 1 小时内入侵 Facebook

尼泊尔网络安全研究员Sameep Aryal发现了Facebook密码重置系统中的漏洞,允许攻击者接管任何账户,而受害者无需采取任何行动。这一发现使Aryal荣登了2024年Facebook白帽黑客名人堂榜首,并获得了公司创纪录的奖金,奖励金额尚未公布。

Aryal发现了Facebook密码重置功能存在漏洞,即请求次数不受限制,攻击者可以发送重置密码请求并利用暴力破解6位安全码。

他的研究表明,通过Android Studio重置密码时,系统会通过Facebook通知提示用户接收安全代码,即使输入失败,该代码在2小时内仍然有效。与短信重置不同,该代码在多次尝试失败后仍然有效。

图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科尼泊尔黑客 1 小时内入侵 Facebook

对于某些用户,密码重置代码直接显示在通知中,无需点击;而对其他用户,则需要点击通知后才能查看代码。

通过暴力破解,他在一小时内测试了所有可能的代码组合,发现了这一漏洞。Aryal于2024年1月30日向Facebook报告了该问题,并于2月2日修复了该漏洞。


转自安全客,原文链接:https://www.anquanke.com/post/id/293637

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞5 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容