Независимый индийский специалист по безопасности Ананд Пракаш [Anand Prakash] обнаружил в социальной сети Facebook неприятную уязвимость, позволявшую простым перебором подобрать пароль пользователя, и получить полный доступ в его аккаунт. В связи с серьёзностью уязвимости компания Facebook выплатила специалисту за ценную информацию $15000 по программе вознаграждения.
Ананд ради интереса исследовал форму восстановления пароля, во время использования которой на телефон или емейл, указанный пользователем, отправляется 6-значный код подтверждения. В обычном случае миллион комбинаций 6-значного кода перебрать не получится, поскольку страница блокирует попытки ввести неправильный код более 10 раз.
Однако, проверив форму восстановления пароля на сайтах beta.facebook.com и mbasic.beta.facebook.com, Ананд убедился, что на них программисты забыли выставить ограничения на ввод паролей. Эти сайты используются для бета-тестирования новых функциональностей, которые затем появляются на основном сайте.
В результате программисту удалось «взломать» собственный аккаунт, подобрав 6-значный код подтверждения (по правилам Facebook нельзя взламывать аккаунты других пользователей даже в исследовательских целях).
В простом HTTP-запросе
POST /recover/as/code/ HTTP/1.1
Host: beta.facebook.com
lsd=AVoywo13&n=XXXXX
менялся параметр n и последовательно подставлялись значения 6-значного кода. Всего через 10 дней после отправки сообщения в Facebook Ананд получил уведомление о начислении приза.
Награда нашла героя
Комментарии (16)
toteKopf
10.03.2016 02:00+2Учитывая жадность ФБ, просто из принципа продал бы «налево» эту информацию, не выгоды ради, а чтоб ФБ задумался о том, какую политику он ведет по отношению к людям, помогающим им. Можно сравнить с милицией, плохая зп — покрывают преступность, хорошая зп — взятки не берут. Понимаю, что акт разовой продажи ничего бы не изменил, однако если ФБ будет продолжать такой курс неадекватного отношения, количество продаж «налево» увеличится и заставит пересмотреть отношение.
mike114
10.03.2016 03:31А вот такой вопрос — сколько, по-вашему, стоит такая находка? Я согласен, что $15000 звучит немного, даже мало, но как определить верхний предел? Один человек даст максимум бутылку за доступ к аккаунту подруги, а другой готов состояние отдать, чтобы вытащить коммерческую тайну из переписки конкурента.
Quickie
10.03.2016 07:02+1А вот такой вопрос — сколько, по-вашему, стоит такая находка?
Со стороны продавца, думаю, она стоит столько, сколько продавец готов/хочет получить с некоторыми условиями и дополнительными опциями в нагрузку, куда входят, например:
- чистота совести (кто-то хочет оставаться честным и чистым, а кому-то на карму плевать);
- время ожидания (в общем случае – чем больше желаемая сумма, тем дольше ждать, и риск открытия дырки другим лицом растет);
- оценка затрат на поиск рынка и конкретного покупателя помимо ФБ (деньги/время/риски на свои ресурсы, на возможности и надежность посредников);
- оценка потенциальной выгоды покупателя (т.е. соотнесение затрат покупателя с приобретаемыми выгодами);
- оценка своих затрат на поиск уязвимости (самому-то как дорого обошелся поиск?);
- оценка компромисса между затратами на обеспечение анонимного действия при продаже и репутационными издержками (включая уголовное и любое другое преследование) в случае действия от себя;
- желание сделать сделку одну и эксклюзивную или состричь бабло с разных покупателей;
- что-то еще, свое.
Это навскидку что пришло в голову, если оценивать со стороны продавца. И так полагаю, что у каждого продавца коктейль условий и опций будет свой, со своими весовыми коэффициентами, поэтому однозначного, общего, ответа не будет. Впрочем, вы сами хорошо расписали ценность этого товара для каких-то покупателей типа "ревнивец" и "конкурент".
Cr558
10.03.2016 10:50Это простая, но очень серьезная уязвимость, которая серьезно дискридитирует компанию и подрывает доверие к ней. Слишком легко даже для скрипт-кидди. Думаю, здесь дело не в том, чтобы продать налево, а в том, что facebook, не ценит спасенную репутацию. Хотя не факт, что этим пользовались втихую, слишком уж на поверхности все. Думаю это стоит годовой зарплаты начальника комнады отвечающей за авторизацию. Вряд ли это 15 000.
Fen1kz
$15000? Такое можно было продать за $150000
amarao
Батрачить за зарплату? Когда можно было вынести кассу?
Fen1kz
Аналогия неправильная. Эксперт независимый и не работает в фб.
Ты идешь и видишь дыру в стене банка. Вместого того, чтобы толкнуть местоположение дыры за 150000$ минимум, ты идешь в банк и они тебе дают $15000. Ты не выносишь деньги из банка сам, ты вообще заходишь лишь пару раз в начале, чтобы проверить, всё. Это даже не взлом.
Я не считаю деньги этого эксперта, но отмечаю жадность фб. Что странно, ведь все эти награждения за баги держаться на честном слове экспертов.
Пока писал. подумал что здесь бОльшая награда не деньги, а имя, но все равно как-то странно.
evil_random
Ну баг то он такой себе нашел. Серьезный но в общем-то лежащий на поверхности.
gDaniCh
Так в основном и происходит.
Как-то гугл забыл оплатить домен, но это совсем другая история.
amarao
Подозреваю, что в ситуации с обычным банком (допустим, человек видит, что дверь в сейф не закрывается, а подпирается чурбачком, и "подсказывает" кому надо), если факт "продал уязвимость" будет доказан, то человек сядет как пособник. Если мне мои (крайне скудные) познания в криминальном мире правильно подсказывают, то это называется "наводчик".
Вот даже УК РФ про такое пишет (bold — мой):
Если продажа уязвимости не "содействие совершению преступления предоставлением информации", то я ничего не понимаю в современной юриспруденции.
Доказать тяжело, конечно, но факта, что такая продажа будет уголовным преступлением (в случае применения по назначению) — не отменяет.
Fen1kz
Я не спорю что это не совсем законно, но вы и сами понимаете, что судить по УК РФ за багу фейсбука индийского эксперта не будут. И по любым другим законам притянуть его, слей он инфу и спались (а он эксперт!) тоже как бы сложно. А стало быть так далеко аналогию с банком простирать не надо.
cachealot
FB вообще очень мало платит, даже 15к для них сумма невероятно большая
Не читали историю как они посадили парня который во время баг репорта продемонстировал уязвимость (можно было менять информацию о себе любого пользователя) и в результате получил повестку в суд ?
dkukushkin
А вы знаете как реально продать без риска что кинут? Ведь в криминальном мире свои правила — могут кинуть вас и сами продать фейсбуку за те же 15 тыс.