Серьезная уязвимость помогает хакерам атаковать аккаунты Facebook без действий жертвы
Эксперт по кибербезопасности Самип Арьял только что опубликовал информацию об уязвимости безопасности в этой социальной сети, позволяющей хакерам использовать учетные записи жертв, не требуя от них каких-либо действий.
Проблема была обнаружена и исправлена 2 февраля, но о ней было объявлено только сейчас из-за правил безопасности.
Уязвимость связана с процессом сброса пароля Facebook через дополнительную функцию отправки кодов аутентификации. Этот 6-значный код отправляется на другое устройство, вошедшее в систему или предварительно зарегистрированное пользователем, для аутентификации исходного пользователя и используется для завершения процесса сброса пароля на новом устройстве.
Согласно выводам Самипа Арьяла, Facebook отправляет фиксированный код аутентификации (не меняет последовательность цифр), действителен в течение 2 часов и не имеет никаких мер безопасности.
Это означает, что мошенники могут ввести неправильный код активации бесчисленное количество раз в течение 2 часов после отправки кода, не прибегая к каким-либо превентивным мерам со стороны системы Facebook. Обычно система безопасности приостанавливает права входа в систему, если неправильный код или пароль вводится более указанного количества раз.
Хакеры могут использовать 2 часа для кражи учетных записей пользователей.
Это атака в 0 кликов, хакеры могут украсть учетную запись жертвы без каких-либо действий с ее стороны.
Когда эта уязвимость будет использована, Facebook отправит жертве уведомление о восстановлении пароля. Поэтому, если вы получили это сообщение, вполне вероятно, что ваша учетная запись подверглась атаке или взлому.