Microsoft выплатила эксперту 50 тыс..

Microsoft выплатила эксперту 50 тысяч за обнаруженную уязвимость в веб-сервисах компании

Microsoft выплатила 50 тысяч независимому эксперту по информационной безопасностиЛакшману Мутийя (Laxman Muthiyah) за обнаружение критической уязвимости в веб-сервисах компании.Дыра позволяла взламывать учётные записи пользователей без их ведома. Исследователь рассказал об этом на портале The Zero Hack.

microsoft-vyplatila-ekspertu-50-tysiach-za-obnaruzhennuiu-uiazvimost-v-vebservisakh-kompanii_1.jpg

Michel Euler, AP

Для сброса пароля учётной записи Microsoft компания требует предоставить электронную почту или номер мобильного телефона, чтобы выслать семизначный код безопасности. После его ввода пользователь может установить новый пароль для аккаунта.

Мутийяобнаружил способ взлома аккаунтов через брутфорс-атаки путём перебора возможных вариантов вышеупомянутого кода безопасности. Сначала эксперт изучил систему обработки паролей, которая ограничивала количество одновременных запросов и блокировала лишние. Он выяснил, что при отправке 1000 вариантов сервис проверял лишь 122 из них. На остальные система реагировала сообщением об ошибке Error 1211.

В результате исследователю удалось разработать алгоритм, позволяющий обойти ограничение на количество запросов. Как выяснилось, одновременная отправка кодов безопасности позволяет обработать их все без дальнейшей блокировки. В итоге ему удалось отгадать необходимый код для сброса пароля.

Лакшмансообщил об уязвимости в Microsoft, отправив в компанию соответствующий видеоролик. После этого разработчики внесли соответствующие исправления в систему и перечислили исследователю награду в размере 50 тысяч. Эксперт поблагодарил команду Microsoft Security Response Center за терпеливость и выплаченное вознаграждение. Более подробный отчёт можно найти на странице The Zero Hack.

Видео

Звук и акустика

predstavlena-vebkameru-kotoraia-do-zhuti-napominaet-nastoiashchii-chelovecheskii-glaz_1.jpg

Представлена веб-камеру, которая до жути напо...

  • Апр 10, 2021
  • 493

Многие цифровые глаза и уши наблюдают за нами в повседневной жизни. Камеры наблюдают смотрят на нас на улицах, а умные колонки слушают нас дома. Иссле...

Сети и коммуникации

operatcionnyi-direktor-spacex-zaiavila-chto-starlink-dostignet-globalnogo-pokrytiia-uzhe-cherez-piat-puskov_1.jpg

Операционный директор spacex заявила, что sta...

  • Апр 10, 2021
  • 112

За последние три месяца SpaceX осуществила восемь успешных запусков спутников Starlink, доставив на низкую околоземную орбиту 480 аппаратов. 6 апреля,...

Наверх