Facebook 向专家支付了创纪录的金额，以寻找可以访问任何帐户的漏洞。

尼泊尔网络安全研究人员 Sameep Aryal 创造了历史，他发现了Facebook 密码重置系统*中的一个漏洞，该漏洞允许攻击者在受害者无需采取任何行动的情况下接管任何帐户。

这一发现不仅为 Aryal 赢得了公司创纪录的奖金，而且还荣登Facebook 2024 年白帽黑客名人堂 榜首 。但奖励金额仍未知。

Aryal 发现Facebook 的密码重置功能对请求的次数没有限制，允许在没有用户干预的情况下进行攻击。攻击者可以发送重置密码的请求并使用暴力破解 6 位安全码。

Aryal 的研究 表明，通过 Android Studio 重置密码时，系统会通过 Facebook 通知提示用户接收安全代码，并且即使尝试输入失败，该代码也会在 2 小时内保持有效。Aryal 指出，与短信重置不同，代码在多次尝试失败后并未失效。

对于某些用户，代码显示在通知本身中（零点击），而在其他情况下，需要在单击通知后查看代码（一键）

通过暴力破解，Aryal 能够在一小时内测试所有可能的代码组合，识别出允许代码直接显示在通知中而无需单击的漏洞。Aryal 于 2024 年 1 月 30 日向 Facebook 报告了该缺陷，该问题于 2 月 2 日得到修复。

文章原文链接:https://www.anquanke.com/post/id/293637