【安全圈】尼泊尔黑客 1 小时内入侵 Facebook

关键词

尼泊尔网络安全研究员Sameep Aryal发现了Facebook密码重置系统中的漏洞，允许攻击者接管任何账户，而受害者无需采取任何行动。这一发现使Aryal荣登了2024年Facebook白帽黑客名人堂榜首，并获得了公司创纪录的奖金，奖励金额尚未公布。

Aryal发现了Facebook密码重置功能存在漏洞，即请求次数不受限制，攻击者可以发送重置密码请求并利用暴力破解6位安全码。

他的研究表明，通过Android Studio重置密码时，系统会通过Facebook通知提示用户接收安全代码，即使输入失败，该代码在2小时内仍然有效。与短信重置不同，该代码在多次尝试失败后仍然有效。

对于某些用户，密码重置代码直接显示在通知中，无需点击；而对其他用户，则需要点击通知后才能查看代码。

通过暴力破解，他在一小时内测试了所有可能的代码组合，发现了这一漏洞。Aryal于2024年1月30日向Facebook报告了该问题，并于2月2日修复了该漏洞。