尼泊尔网络安全研究员Sameep Aryal发现了Facebook密码重置系统中的漏洞,允许攻击者接管任何账户,而受害者无需采取任何行动。这一发现使Aryal荣登了2024年Facebook白帽黑客名人堂榜首,并获得了公司创纪录的奖金,奖励金额尚未公布。
Aryal发现了Facebook密码重置功能存在漏洞,即请求次数不受限制,攻击者可以发送重置密码请求并利用暴力破解6位安全码。
他的研究表明,通过Android Studio重置密码时,系统会通过Facebook通知提示用户接收安全代码,即使输入失败,该代码在2小时内仍然有效。与短信重置不同,该代码在多次尝试失败后仍然有效。
对于某些用户,密码重置代码直接显示在通知中,无需点击;而对其他用户,则需要点击通知后才能查看代码。
通过暴力破解,他在一小时内测试了所有可能的代码组合,发现了这一漏洞。Aryal于2024年1月30日向Facebook报告了该问题,并于2月2日修复了该漏洞。
转自安全客,原文链接:https://www.anquanke.com/post/id/293637
© 版权声明
文章版权归原作者所有,转摘请注明出处。文章内容仅代表作者独立观点,不代表安全壹壹肆&安全114的立场,转载目的在于传递网络空间安全讯息。部分素材来源于网络,如有侵权请联系首页管理员删除。
THE END
暂无评论内容