来源: 时间:2022-12-09 13:35:06
周一,位于钦奈的安全研究人员Laxman Muthiyah在Facebook拥有的照片和视频共享应用程序Instagram上发现了一个新的帐户接管漏洞,该漏洞使他获得了10,000美元的奖励-约7.2万卢比-作为社交网络的一部分bug赏金计划。
黑客说,Facebook现在已经解决了这个问题。Muthiyah在博客中说: “Facebook和Instagram安全团队解决了这个问题,并奖励了我10000美元,作为他们赏金计划的一部分。”
黑客上个月在Instagram上发现了类似的漏洞,这使他从Facebook获得了30,000美元 (约合21.5万卢比) 的奖励。虽然先前发现的漏洞允许任何人在尝试重置Instagram帐户时绕过六位数密码的限速机制,但新建立的漏洞可能已被用于使用设备ID和密码一次入侵多个帐户重置代码。
Muthiyah在他的博客文章中解释了这个问题。他说,当用户使用他们的移动设备请求密码时,随机生成的设备ID将与请求一起发送。再次使用相同的设备ID来验证密码。
6位密码有100万的概率,“当我们请求多个用户的密码时,我们正在增加黑客帐户的可能性”。因此,为了最大程度地减少概率,攻击者需要请求更多用户的密码。
另请阅读Facebook奖励10岁的孩子10,000美元发现Instagram错误
“因此,攻击者应该请求100万用户的代码,以100的成功率完成攻击,” 黑客在他的博客文章中写道。这将允许一个人入侵所有100万用户帐户,但攻击应该在10分钟内发生,因为代码在此时间限制后过期。
相关推荐
猜你喜欢
