"Фейсбук" плати $15 000 за разкриването на уязвимост, разкриваща паролите
Независимият индийски IT специалист Ананд Пракаш (Anand Prakash) намери интересна уязвимост във Facebook, която дава възможност за разкриване паролата на всеки потребител чрез метода на грубата сила и по този начин да получи пълен достъп до акаунта. Facebook счете уязвимостта за сериозна и заплати на експерта $15 000 от програмата за възнаграждения, предава kaldata.com
Ананд изследвал формата за възстановяване на забравени пароли, при използването на която се изпраща 6-символен код за потвърждение. Този код е твърде трудно да се подбере, понеже има над 6 милиона комбинации, а страницата блокира опитите за въвеждане на неправилен код повече от 10 пъти.
Специалистът посетил сайтовете beta.facebook.com и mbasic.beta.facebook.com и забелязал, че програмистите са пропуснали да поставят ограничението за въведените пароли в страницата. Тези сайтове се използват за бета-тестове на новите възможности, които по-късно се внедряват във Facebook.
Ананд успял да проникне в своя акаунт чрез подбиране на 6-значния код за потвърждение. (правилата на Facebook забраняват проникването в чужди акаунти дори с изследователски цели). Той изпратил информацията във Facebook и след 10 дни получил съобщение, че са му начислени $15 000.