Новости и события » Общество » Microsoft выплатила эксперту $50 тысяч за обнаруженную уязвимость в веб-сервисах компании

Microsoft выплатила эксперту $50 тысяч за обнаруженную уязвимость в веб-сервисах компании

Microsoft выплатила эксперту $50 тысяч за обнаруженную уязвимость в веб-сервисах компании

Microsoft выплатила $50 тысяч независимому эксперту по информационной безопасности Лакшману Мутийя (Laxman Muthiyah) за обнаружение критической уязвимости в веб-сервисах компании. "Дыра" позволяла взламывать учетные записи пользователей без их ведома. Исследователь рассказал об этом на портале The Zero Hack.

Для сброса пароля учетной записи Microsoft компания требует предоставить электронную почту или номер мобильного телефона, чтобы выслать семизначный код безопасности. После его ввода пользователь может установить новый пароль для аккаунта.

Мутийя обнаружил способ взлома аккаунтов через брутфорс-атаки - путем перебора возможных вариантов вышеупомянутого кода безопасности. Сначала эксперт изучил систему обработки паролей, которая ограничивала количество одновременных запросов и блокировала лишние. Он выяснил, что при отправке 1000 вариантов сервис проверял лишь 122 из них. На остальные система реагировала сообщением об ошибке "Error 1211".

В результате исследователю удалось разработать алгоритм, позволяющий обойти ограничение на количество запросов. Как выяснилось, одновременная отправка кодов безопасности позволяет обработать их все без дальнейшей блокировки. В итоге ему удалось отгадать необходимый код для сброса пароля.

Лакшман сообщил об уязвимости в Microsoft, отправив в компанию соответствующий видеоролик. После этого разработчики внесли соответствующие исправления в систему и перечислили исследователю награду в размере $50 тысяч. Эксперт поблагодарил команду Microsoft Security Response Center за терпеливость и выплаченное вознаграждение. Более подробный отчет можно найти на странице The Zero Hack.

Microsoft


Свежие новости Украины на сегодня и последние события в мире экономики и политики, культуры и спорта, технологий, здоровья, происшествий, авто и мото

Вверх