Facebook заплатил $15000 за находку уязвимости, позволявшей менять пароль любого пользователя



    Независимый индийский специалист по безопасности Ананд Пракаш [Anand Prakash] обнаружил в социальной сети Facebook неприятную уязвимость, позволявшую простым перебором подобрать пароль пользователя, и получить полный доступ в его аккаунт. В связи с серьёзностью уязвимости компания Facebook выплатила специалисту за ценную информацию $15000 по программе вознаграждения.

    Ананд ради интереса исследовал форму восстановления пароля, во время использования которой на телефон или емейл, указанный пользователем, отправляется 6-значный код подтверждения. В обычном случае миллион комбинаций 6-значного кода перебрать не получится, поскольку страница блокирует попытки ввести неправильный код более 10 раз.

    Однако, проверив форму восстановления пароля на сайтах beta.facebook.com и mbasic.beta.facebook.com, Ананд убедился, что на них программисты забыли выставить ограничения на ввод паролей. Эти сайты используются для бета-тестирования новых функциональностей, которые затем появляются на основном сайте.

    В результате программисту удалось «взломать» собственный аккаунт, подобрав 6-значный код подтверждения (по правилам Facebook нельзя взламывать аккаунты других пользователей даже в исследовательских целях).

    В простом HTTP-запросе

    POST /recover/as/code/ HTTP/1.1
    Host: beta.facebook.com
    
    lsd=AVoywo13&n=XXXXX
    


    менялся параметр n и последовательно подставлялись значения 6-значного кода. Всего через 10 дней после отправки сообщения в Facebook Ананд получил уведомление о начислении приза.

    image
    Награда нашла героя
    Поддержать автора
    Поделиться публикацией

    Комментарии 16

      0
      $15000? Такое можно было продать за $150000
        +12
        Батрачить за зарплату? Когда можно было вынести кассу?
          –5
          Аналогия неправильная. Эксперт независимый и не работает в фб.

          Ты идешь и видишь дыру в стене банка. Вместого того, чтобы толкнуть местоположение дыры за 150000$ минимум, ты идешь в банк и они тебе дают $15000. Ты не выносишь деньги из банка сам, ты вообще заходишь лишь пару раз в начале, чтобы проверить, всё. Это даже не взлом.

          Я не считаю деньги этого эксперта, но отмечаю жадность фб. Что странно, ведь все эти награждения за баги держаться на честном слове экспертов.

          Пока писал. подумал что здесь бОльшая награда не деньги, а имя, но все равно как-то странно.
            0
            Ну баг то он такой себе нашел. Серьезный но в общем-то лежащий на поверхности.
              +2
              Так в основном и происходит.
              Как-то гугл забыл оплатить домен, но это совсем другая история.
              +4
              Подозреваю, что в ситуации с обычным банком (допустим, человек видит, что дверь в сейф не закрывается, а подпирается чурбачком, и "подсказывает" кому надо), если факт "продал уязвимость" будет доказан, то человек сядет как пособник. Если мне мои (крайне скудные) познания в криминальном мире правильно подсказывают, то это называется "наводчик".

              Вот даже УК РФ про такое пишет (bold — мой):

              5. Пособником признается лицо, содействовавшее совершению преступления советами, указаниями, предоставлением информации, средств или орудий совершения преступления либо устранением препятствий, а также лицо, заранее обещавшее скрыть преступника, средства или орудия совершения преступления, следы преступления либо предметы, добытые преступным путем, а равно лицо, заранее обещавшее приобрести или сбыть такие предметы.

              Если продажа уязвимости не "содействие совершению преступления предоставлением информации", то я ничего не понимаю в современной юриспруденции.

              Доказать тяжело, конечно, но факта, что такая продажа будет уголовным преступлением (в случае применения по назначению) — не отменяет.
                0
                Я не спорю что это не совсем законно, но вы и сами понимаете, что судить по УК РФ за багу фейсбука индийского эксперта не будут. И по любым другим законам притянуть его, слей он инфу и спались (а он эксперт!) тоже как бы сложно. А стало быть так далеко аналогию с банком простирать не надо.
            +1
            FB вообще очень мало платит, даже 15к для них сумма невероятно большая

            Не читали историю как они посадили парня который во время баг репорта продемонстировал уязвимость (можно было менять информацию о себе любого пользователя) и в результате получил повестку в суд ?
              +3
              А вы знаете как реально продать без риска что кинут? Ведь в криминальном мире свои правила — могут кинуть вас и сами продать фейсбуку за те же 15 тыс.
              +2
              Учитывая жадность ФБ, просто из принципа продал бы «налево» эту информацию, не выгоды ради, а чтоб ФБ задумался о том, какую политику он ведет по отношению к людям, помогающим им. Можно сравнить с милицией, плохая зп — покрывают преступность, хорошая зп — взятки не берут. Понимаю, что акт разовой продажи ничего бы не изменил, однако если ФБ будет продолжать такой курс неадекватного отношения, количество продаж «налево» увеличится и заставит пересмотреть отношение.
                +2
                Пока хорошо видно только жадность коментирующих этот топик.
                  0
                  Это не жадность, а взгляд на справедливую награду, по мнению людей. Ведь от их мнения, они не получат никакой финансовой выгоды, а значит и жадность ни при чем)
                    0
                    Не смешите
                0
                А вот такой вопрос — сколько, по-вашему, стоит такая находка? Я согласен, что $15000 звучит немного, даже мало, но как определить верхний предел? Один человек даст максимум бутылку за доступ к аккаунту подруги, а другой готов состояние отдать, чтобы вытащить коммерческую тайну из переписки конкурента.
                  +1
                  А вот такой вопрос — сколько, по-вашему, стоит такая находка?

                  Со стороны продавца, думаю, она стоит столько, сколько продавец готов/хочет получить с некоторыми условиями и дополнительными опциями в нагрузку, куда входят, например:

                  • чистота совести (кто-то хочет оставаться честным и чистым, а кому-то на карму плевать);
                  • время ожидания (в общем случае – чем больше желаемая сумма, тем дольше ждать, и риск открытия дырки другим лицом растет);
                  • оценка затрат на поиск рынка и конкретного покупателя помимо ФБ (деньги/время/риски на свои ресурсы, на возможности и надежность посредников);
                  • оценка потенциальной выгоды покупателя (т.е. соотнесение затрат покупателя с приобретаемыми выгодами);
                  • оценка своих затрат на поиск уязвимости (самому-то как дорого обошелся поиск?);
                  • оценка компромисса между затратами на обеспечение анонимного действия при продаже и репутационными издержками (включая уголовное и любое другое преследование) в случае действия от себя;
                  • желание сделать сделку одну и эксклюзивную или состричь бабло с разных покупателей;
                  • что-то еще, свое.

                  Это навскидку что пришло в голову, если оценивать со стороны продавца. И так полагаю, что у каждого продавца коктейль условий и опций будет свой, со своими весовыми коэффициентами, поэтому однозначного, общего, ответа не будет. Впрочем, вы сами хорошо расписали ценность этого товара для каких-то покупателей типа "ревнивец" и "конкурент".
                  0
                  Это простая, но очень серьезная уязвимость, которая серьезно дискридитирует компанию и подрывает доверие к ней. Слишком легко даже для скрипт-кидди. Думаю, здесь дело не в том, чтобы продать налево, а в том, что facebook, не ценит спасенную репутацию. Хотя не факт, что этим пользовались втихую, слишком уж на поверхности все. Думаю это стоит годовой зарплаты начальника комнады отвечающей за авторизацию. Вряд ли это 15 000.

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое