Исследователь безопасность Anand Prakash опубликовал (http://www.anandpraka.sh/2016/03/how-i-could-have-hacked-you...) показательный пример, когда банальный недосмотр привёл к наличию уязвимости, позволяющей сменить пароль любого пользователя Facebook. За выявленную проблему Facebook выплатил энтузиасту премию в размере 15 тысяч долларов США.
Проблема присутствовала в реализации интерфейса смены пароля на Facebook и уже исправлена. Для инициирования процесса смены пароля достаточно указать номер телефона или email, после чего на адрес пользователя будет отправлен код подтверждения, состоящий из шести цифр. После 10-12 неудачных попыток ввода код блокируется, поэтому в обычных условиях подобрать проверочный код невозможно.
Суть проблемы в том, что ограничение на число попыток ввода действовало только на основном сайте, а в экспериментальных разделах (beta.facebook.com, mbasic.beta.facebook.com), в которых проводится бета-тестирование новых возможностей социальной сети, число попыток не было ограничено. Без ограничений подбор кода из шести цифр является тривиальной задачей.
<center><iframe width="640" height="360" src="https://www.youtube.com/embed/U3Of-jF1nWo?rel=0" frameborder="0" allowfullscreen></iframe></center>
URL: http://www.anandpraka.sh/2016/03/how-i-could-have-hacked-you...
Новость: https://www.opennet.ru/opennews/art.shtml?num=44011