1400
جزئیات وبلاگ
پاداش ۱۵٫۰۰۰ دلاری فیسبوک به یابنده باگ موجود در سیستم ریست رمز عبور
اخیرا یکی از باگهای اساسی و خطرناک فیسبوک توسط یکی از محققان امنیتی کشف شده که در مقابل تلاشهای خود پاداش ۱۵ هزار دلاری را از فیسبوک دریافت کرد. این محقق هندی که Anand Prakash نام دارد، باگ موجود در سیستم ریست رمز عبور فیسبوک را کشف کرده که به واسطهی آن میتوان به اکانت هر کاربر فیسبوک دسترسی داشت. ساز و کار باگ مذکور در زمانی است که کد ۶ رقمی به گوشی کاربر مورد نظر ارسال میشود تا از آن به عنوان پسورد موقت برای لاگین به حساب کاربری استفاده شود.
معمولا پس از ۱۰ الی ۱۲ بار وارد کردن رمز غلط در حساب فیسبوک، اکانت لاک شده و صفحهی ریست رمز عبور باز میشود. اما پراکاش متوجه شده که این سختگیریهای امنیتی که در خود سایت فیسبوک نهاده شده، در سایتهای بتای این شبکهی اجتماعی وجود ندارند. این سایتهای بتا برای توسعه دهندگان که مایل هستند، قابلیتهای جدید شبکهی اجتماعی را تجربه کنند در دسترس است که البته تمامی حسابهای کاربران فیسبوک را به واسطهی آن نیز میتوان مشاهده کرد. باگ موجود به پراکاش این امکان را محیا کرد که با حدس زدن پینهای ارسالی به کاربران (روش بروتفورس)، اکانتها را هک کند.
پراکاش به جای اکسپلویت این باگ، آن را در صفحهی مخصوص گزارش آسیب پذیریها به فیسبوک اطلاع داد. همان روز، فیسبوک اعلام کرد که این باگ چند روز پیش زمانی که تغییراتی را در سایتهای بتای این شبکهی اجتماعی اعمال کردهاند، به وجود آمده است. علاوه بر این، فیسبوک اطلاع داد که تا به حال هیچ سوءاستفادهای از این باگ انجام نشده و از اینرو پراکاش میتواند پاداش ۱۵ هزار دلاری را دریافت کند.
اگرچه باگ مذکور جزو رخنههای امنیتی با ریسک بسیار بالا به شمار نمیآید، اما نتیجهای که با سوءاستفاده از آن به دست میآید بسیار خطرناک و حتی جبران ناپذیر است. یکی از جنبههای مثبت برنامهی پاداش یافتن باگ این است که محققان امنیتی شوق یافتن باگها و رخنههای امنیتی را به دست میآورند.
فیسبوک در گزارشی به وبسایت وِرج اعلام کرد:
ما از اینکه چنین باگ مهمی کشف شده و پاداشی را به محقق امنیتی که آن را یافته، پرداختیم بسیار خرسند هستیم.
از زمان اجرای برنامهی «پاداش در ازای یافتن باگ» فیسبوک، این شبکهی اجتماعی بیش از چهار میلیون دلار به هکرها و محققان امنیتی پرداخته است.
پاداش ۱۵٫۰۰۰ دلاری فیسبوک به یابنده باگ موجود در سیستم ریست رمز عبور