12px13px15px17px
Дата:05/03/21

Microsoft выплатила эксперту $50 тысяч за обнаруженную уязвимость в веб-сервисах компании

Microsoft выплатила $50 тысяч независимому эксперту по информационной безопасности Лакшману Мутийя (Laxman Muthiyah) за обнаружение критической уязвимости в веб-сервисах компании. «Дыра» позволяла взламывать учётные записи пользователей без их ведома.

 

Для сброса пароля учётной записи Microsoft компания требует предоставить электронную почту или номер мобильного телефона, чтобы выслать семизначный код безопасности. После его ввода пользователь может установить новый пароль для аккаунта.

 

Мутийя обнаружил способ взлома аккаунтов через брутфорс-атаки — путём перебора возможных вариантов вышеупомянутого кода безопасности. Сначала эксперт изучил систему обработки паролей, которая ограничивала количество одновременных запросов и блокировала лишние. Он выяснил, что при отправке 1000 вариантов сервис проверял лишь 122 из них. На остальные система реагировала сообщением об ошибке «Error 1211».

 

В результате исследователю удалось разработать алгоритм, позволяющий обойти ограничение на количество запросов. Как выяснилось, одновременная отправка кодов безопасности позволяет обработать их все без дальнейшей блокировки. В итоге ему удалось отгадать необходимый код для сброса пароля.

 

Лакшман сообщил об уязвимости в Microsoft, отправив в компанию соответствующий видеоролик. После этого разработчики внесли соответствующие исправления в систему и перечислили исследователю награду в размере $50 тысяч, сообщает 3dnews.ru.





Просмотры: 257

При использовании ссылка на ictnews.az обязательна

Facebook Google Favorites.Live BobrDobr Delicious Twitter Propeller Diigo Yahoo Memori MoeMesto

Похожие новости

Возросший интерес к iPad снизил поставки персональных компьютеров
Число сотовых абонентов в Китае превысило 900 миллионов
Российский рынок связи может заработать дополнительно $3 млрд
Папа Римский станет редактором на новом новостном портале
Лютфи Заде поблагодарил Президента Ильхама Алиева
Британское правительство берет на работу эксперта по открытому коду
Apple приближается к юридической победе в споре с тайваньской HTC
22 июля - День национальной прессы Азербайджана
Xalq Bank начал выпуск Visa Internet Card
В США забастовали 45 тыс. сотрудников оператора Verizon
Известный ИТ-бизнесмен погиб в автокатастрофе
Министерство транспорта Азербайджана планирует применить единую систему оплаты в общественном транспорте
С начала года к азербайджанской образовательной сети подключены около 100 школ
ГКВИ объявил набор IT консультантов для регистрации недвижимости и кадастра
В Азербайджане продлены лицензии двух телерадиоструктур






29 Март 2024

28 03 2024