关键词
黑客攻击
尼泊尔网络安全研究员Sameep Aryal发现了Facebook密码重置系统中的漏洞,允许攻击者接管任何账户,而受害者无需采取任何行动。这一发现使Aryal荣登了2024年Facebook白帽黑客名人堂榜首,并获得了公司创纪录的奖金,奖励金额尚未公布。
Aryal发现了Facebook密码重置功能存在漏洞,即请求次数不受限制,攻击者可以发送重置密码请求并利用暴力破解6位安全码。
他的研究表明,通过Android Studio重置密码时,系统会通过Facebook通知提示用户接收安全代码,即使输入失败,该代码在2小时内仍然有效。与短信重置不同,该代码在多次尝试失败后仍然有效。
对于某些用户,密码重置代码直接显示在通知中,无需点击;而对其他用户,则需要点击通知后才能查看代码。
通过暴力破解,他在一小时内测试了所有可能的代码组合,发现了这一漏洞。Aryal于2024年1月30日向Facebook报告了该问题,并于2月2日修复了该漏洞。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.