MWC 2018
2018
Computex
IFA 2018
Охотник за программными ошибками (Bug-Bounty Hunter, по аналогии с Bounty Hunter — охотник за головами) с псевдонимом Gtm Mänôz обнаружил проблему в API соцсети Instagram✴, которая может позволить злоумышленнику запускать брутфорс-атаки и обходить двухфакторную аутентификацию (2FA) в соцсети Facebook✴, принадлежащей той же компании, Meta✴ Platforms.
Источник изображения: themerkle.com
Пользователь может связать свои учётные записи Instagram✴ и Facebook✴, добавив в первую уже подтверждённый номер мобильного телефона, связанный с учётной записью Facebook✴. После ввода номера мобильного телефона Facebook✴ генерирует одноразовый код для подтверждения личности пользователя.
Но ошибка с ограничением числа попыток доступа в Instagram✴ может позволить злоумышленнику управлять неограниченным бот-трафиком, чтобы запустить брутфорс-атаку для подтверждения одноразового PIN-код Facebook✴, эффективно обходя двухфакторную защиту Facebook✴.
«Если номер телефона был полностью подтверждён и в Facebook✴ включена двухфакторная аутентификация, то она будет отключена или деактивирована в учётной записи жертвы, — обнаружил Gtm Mänôz. — И, если номер телефона был частично подтверждён (то есть использовался только для 2FA), 2FA будет отменена, а номер телефона будет удалён из атакованной учётной записи».
Охота Gtm Mänôz за ошибками была успешной — на данный момент Meta✴ уже исправила проблему и выплатила ему 27 000 долларов в рамках программы вознаграждения за обнаружение уязвимостей. Всем пользователям рекомендуется незамедлительно обновить приложения Meta✴ до последней версии, чтобы избежать уязвимости.
Источник:
Обзор Ryzen 5 8600G: новый король бюджетных сборок (нет)
50
OpenAI представила ИИ-модель GPT-4o — она гораздо умнее старых версий и будет доступна бесплатно
27
Учёные случайно создали конденсатор, который можно зарядить в 19 раз сильнее обычного
25
Представители британской прессы заявили, что нововведения Apple iOS оставят их без средств к существованию
21
Подписаться