Независимый индийский специалист по безопасности Ананд Пракаш [Anand Prakash] обнаружил в социальной сети Facebook неприятную уязвимость, позволявшую простым перебором подобрать пароль пользователя, и получить полный доступ в его аккаунт. В связи с серьёзностью уязвимости компания Facebook выплатила специалисту за ценную информацию $15000 по программе вознаграждения.

Ананд ради интереса исследовал форму восстановления пароля, во время использования которой на телефон или емейл, указанный пользователем, отправляется 6-значный код подтверждения. В обычном случае миллион комбинаций 6-значного кода перебрать не получится, поскольку страница блокирует попытки ввести неправильный код более 10 раз.

Однако, проверив форму восстановления пароля на сайтах beta.facebook.com и mbasic.beta.facebook.com, Ананд убедился, что на них программисты забыли выставить ограничения на ввод паролей. Эти сайты используются для бета-тестирования новых функциональностей, которые затем появляются на основном сайте.

В результате программисту удалось «взломать» собственный аккаунт, подобрав 6-значный код подтверждения (по правилам Facebook нельзя взламывать аккаунты других пользователей даже в исследовательских целях).

В простом HTTP-запросе

POST /recover/as/code/ HTTP/1.1
Host: beta.facebook.com

lsd=AVoywo13&n=XXXXX


менялся параметр n и последовательно подставлялись значения 6-значного кода. Всего через 10 дней после отправки сообщения в Facebook Ананд получил уведомление о начислении приза.

image
Награда нашла героя

Комментарии (16)


  1. Fen1kz
    09.03.2016 13:04

    $15000? Такое можно было продать за $150000


    1. amarao
      09.03.2016 13:22
      +12

      Батрачить за зарплату? Когда можно было вынести кассу?


      1. Fen1kz
        09.03.2016 14:06
        -5

        Аналогия неправильная. Эксперт независимый и не работает в фб.

        Ты идешь и видишь дыру в стене банка. Вместого того, чтобы толкнуть местоположение дыры за 150000$ минимум, ты идешь в банк и они тебе дают $15000. Ты не выносишь деньги из банка сам, ты вообще заходишь лишь пару раз в начале, чтобы проверить, всё. Это даже не взлом.

        Я не считаю деньги этого эксперта, но отмечаю жадность фб. Что странно, ведь все эти награждения за баги держаться на честном слове экспертов.

        Пока писал. подумал что здесь бОльшая награда не деньги, а имя, но все равно как-то странно.


        1. evil_random
          09.03.2016 14:26

          Ну баг то он такой себе нашел. Серьезный но в общем-то лежащий на поверхности.


          1. gDaniCh
            09.03.2016 14:54
            +2

            Так в основном и происходит.
            Как-то гугл забыл оплатить домен, но это совсем другая история.


        1. amarao
          09.03.2016 15:02
          +4

          Подозреваю, что в ситуации с обычным банком (допустим, человек видит, что дверь в сейф не закрывается, а подпирается чурбачком, и "подсказывает" кому надо), если факт "продал уязвимость" будет доказан, то человек сядет как пособник. Если мне мои (крайне скудные) познания в криминальном мире правильно подсказывают, то это называется "наводчик".

          Вот даже УК РФ про такое пишет (bold — мой):

          5. Пособником признается лицо, содействовавшее совершению преступления советами, указаниями, предоставлением информации, средств или орудий совершения преступления либо устранением препятствий, а также лицо, заранее обещавшее скрыть преступника, средства или орудия совершения преступления, следы преступления либо предметы, добытые преступным путем, а равно лицо, заранее обещавшее приобрести или сбыть такие предметы.

          Если продажа уязвимости не "содействие совершению преступления предоставлением информации", то я ничего не понимаю в современной юриспруденции.

          Доказать тяжело, конечно, но факта, что такая продажа будет уголовным преступлением (в случае применения по назначению) — не отменяет.


          1. Fen1kz
            09.03.2016 15:14

            Я не спорю что это не совсем законно, но вы и сами понимаете, что судить по УК РФ за багу фейсбука индийского эксперта не будут. И по любым другим законам притянуть его, слей он инфу и спались (а он эксперт!) тоже как бы сложно. А стало быть так далеко аналогию с банком простирать не надо.


    1. cachealot
      09.03.2016 21:55
      +1

      FB вообще очень мало платит, даже 15к для них сумма невероятно большая

      Не читали историю как они посадили парня который во время баг репорта продемонстировал уязвимость (можно было менять информацию о себе любого пользователя) и в результате получил повестку в суд ?


    1. dkukushkin
      10.03.2016 05:57
      +3

      А вы знаете как реально продать без риска что кинут? Ведь в криминальном мире свои правила — могут кинуть вас и сами продать фейсбуку за те же 15 тыс.


  1. toteKopf
    10.03.2016 02:00
    +2

    Учитывая жадность ФБ, просто из принципа продал бы «налево» эту информацию, не выгоды ради, а чтоб ФБ задумался о том, какую политику он ведет по отношению к людям, помогающим им. Можно сравнить с милицией, плохая зп — покрывают преступность, хорошая зп — взятки не берут. Понимаю, что акт разовой продажи ничего бы не изменил, однако если ФБ будет продолжать такой курс неадекватного отношения, количество продаж «налево» увеличится и заставит пересмотреть отношение.


    1. calx
      10.03.2016 09:46
      +2

      Пока хорошо видно только жадность коментирующих этот топик.


      1. toteKopf
        10.03.2016 12:32

        Это не жадность, а взгляд на справедливую награду, по мнению людей. Ведь от их мнения, они не получат никакой финансовой выгоды, а значит и жадность ни при чем)


        1. calx
          10.03.2016 12:45

          Не смешите


  1. mike114
    10.03.2016 03:31

    А вот такой вопрос — сколько, по-вашему, стоит такая находка? Я согласен, что $15000 звучит немного, даже мало, но как определить верхний предел? Один человек даст максимум бутылку за доступ к аккаунту подруги, а другой готов состояние отдать, чтобы вытащить коммерческую тайну из переписки конкурента.


    1. Quickie
      10.03.2016 07:02
      +1

      А вот такой вопрос — сколько, по-вашему, стоит такая находка?

      Со стороны продавца, думаю, она стоит столько, сколько продавец готов/хочет получить с некоторыми условиями и дополнительными опциями в нагрузку, куда входят, например:

      • чистота совести (кто-то хочет оставаться честным и чистым, а кому-то на карму плевать);
      • время ожидания (в общем случае – чем больше желаемая сумма, тем дольше ждать, и риск открытия дырки другим лицом растет);
      • оценка затрат на поиск рынка и конкретного покупателя помимо ФБ (деньги/время/риски на свои ресурсы, на возможности и надежность посредников);
      • оценка потенциальной выгоды покупателя (т.е. соотнесение затрат покупателя с приобретаемыми выгодами);
      • оценка своих затрат на поиск уязвимости (самому-то как дорого обошелся поиск?);
      • оценка компромисса между затратами на обеспечение анонимного действия при продаже и репутационными издержками (включая уголовное и любое другое преследование) в случае действия от себя;
      • желание сделать сделку одну и эксклюзивную или состричь бабло с разных покупателей;
      • что-то еще, свое.

      Это навскидку что пришло в голову, если оценивать со стороны продавца. И так полагаю, что у каждого продавца коктейль условий и опций будет свой, со своими весовыми коэффициентами, поэтому однозначного, общего, ответа не будет. Впрочем, вы сами хорошо расписали ценность этого товара для каких-то покупателей типа "ревнивец" и "конкурент".


  1. Cr558
    10.03.2016 10:50

    Это простая, но очень серьезная уязвимость, которая серьезно дискридитирует компанию и подрывает доверие к ней. Слишком легко даже для скрипт-кидди. Думаю, здесь дело не в том, чтобы продать налево, а в том, что facebook, не ценит спасенную репутацию. Хотя не факт, что этим пользовались втихую, слишком уж на поверхности все. Думаю это стоит годовой зарплаты начальника комнады отвечающей за авторизацию. Вряд ли это 15 000.