Специалист по кибербезопасности Ананд Пракаш нашел ошибку в защите аккаунтов соцсети, за что получил $15 000. Ошибка была исправлена на следующий день после обращения Пракаша.
При восстановлении доступа к учетной записи Фейсбук высылает на мобильный телефон сообщение с шестизначным номером, который является одноразовым паролем. Если пользователь вводит неверный код 10 раз или 12 раз подряд, соцсеть блокирует возможность входа. Пракаш заметил, что по адресу beta.facebook.com ограничения в количестве попыток не было и он мог получить доступ к любому аккаунту, подобрав правильный код.
Разработчиками, как правило, используется адрес beta.facebook.com для тестирования новых функций, которые еще не готовы для запуска на facebook.com. Поскольку все аккаунты также доступны на beta.facebook.com, баг создал серьезную угрозу для безопасности пользователей.
По материалам: ukrainianfacebook
