ITbukva - Самые свежие новости в мире информационных технологий

Facebook заплатил 15,000 долларов, чтобы исправить ошибку, которая может открыть любой аккаунт пользователя

Facebook заплатил 15,000 долларов, чтобы исправить ошибку, которая может открыть любой аккаунт пользователяВ прошлом месяце, исследователь безопасности Ананд Пракаш наткнулся на большой недостаток в безопасности аккаунта Facebook. Когда аккаунт сбрасывается, Facebook посылает 6-значный пин-код на телефон пользователя, используя этот пин-код в качестве временного пароля, сообщает ITbukva.com. Но в то время как Facebook обычно отрезает вас после десяти или двенадцати неудачных попыток, Пракаш заметил, что эти средства защиты отсутствовали на beta.facebook.com, где разработчики часто запускают новые функции, которые не готовы к facebook.com.

Но поскольку каждый аккаунт Facebook также доступен на beta.facebook.com, возникшая ошибка позволяла наводнить страницу вариантами пин-кода, эффективно позволяя взломать любой аккаунт по желанию.

Ошибка была результатом изменения, которое развилось на бета-странице несколько дней назад, и, кажется, широко не использовалась до того, как её обнаружил Пракаш. Тем не менее, это серьезная проблема безопасности, а именно тип атаки, для решения которой предназначена программа по отлову багов. Пракаш послал отчёт об ошибке на страницу уязвимостей безопасности Facebook, и на следующий день, компания подтвердила, что её исправили. Через восемь дней после этого, Facebook вознаградили его 15,000 долларов за сообщение о проблеме.

Это высокая выплата для относительно простой ошибки, но, как и у многих компаний, отлов багов у Facebook оценивается скорее по риску, а не по сложности. (На странице White Hat говорится, что выплаты «основаны на риске, влиянии и других факторах».) Если бы изменения, которые нашёл Пракаш развились на Facebook.com, они возможно вызвали масштабные пользовательские атаки, из-за чего это одна из достаточно опасных ошибок, которую мог найти исследователь.

«Одним из наиболее ценных преимуществ программ по отлову багов является возможность найти проблемы ещё до того, как они достигнут цели», – сказали Facebook в заявлении. «Мы рады признать и вознаградить Ананда за его прекрасный отчёт». Выплаты Facebook составили более 4,3 миллионов долларов более 800 исследователей, со старта программы отлова багов в 2011 году.
Источник: The Verge


Оцените новость сайта ITbukva.com: 5 1 1 1 1 1 1 1 1 1 1 Rating 5.00 (1 Vote)


Оцените новость сайта ITbukva.com: 5 1 1 1 1 1 1 1 1 1 1 Rating 5.00 (1 Vote)
Понравилась новость? Поделись ею
Facebook заплатил 15,000 долларов, чтобы исправить ошибку, которая может открыть любой аккаунт пользователя
Опубликовано

Подпишитесь на ITbukva.com

VK
FB
G+
{lang: 'ru', parsetags: 'explicit'}