关键词

黑客攻击

尼泊尔网络安全研究员Sameep Aryal发现了Facebook密码重置系统中的漏洞,允许攻击者接管任何账户,而受害者无需采取任何行动。这一发现使Aryal荣登了2024年Facebook白帽黑客名人堂榜首,并获得了公司创纪录的奖金,奖励金额尚未公布。

Aryal发现了Facebook密码重置功能存在漏洞,即请求次数不受限制,攻击者可以发送重置密码请求并利用暴力破解6位安全码。

他的研究表明,通过Android Studio重置密码时,系统会通过Facebook通知提示用户接收安全代码,即使输入失败,该代码在2小时内仍然有效。与短信重置不同,该代码在多次尝试失败后仍然有效。

打开网易新闻 查看精彩图片

对于某些用户,密码重置代码直接显示在通知中,无需点击;而对其他用户,则需要点击通知后才能查看代码。

通过暴力破解,他在一小时内测试了所有可能的代码组合,发现了这一漏洞。Aryal于2024年1月30日向Facebook报告了该问题,并于2月2日修复了该漏洞。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!