사용자의 암호찾기가 쉽게 뚫렸다?
IP당 200여개, 6자리 숫자코드를 뚫기위해 5000개의 IP만 있으면 비밀번호 찾기를 위한 모든 인증코드를 시도할 수 있다.
5000 IP는 많아 보이나, 클라우드 서비스를 이용하면 $150면 가능하다.
제보자는 다음을 문제삼았고, 아주 오래된 해킹수법인 bruteforce(무차별 대입) 방식을 이용해 사용자의 암호를 변경할수 있었다.
요청의 수와 블랙리스트가 없다는 것입니다.
짧은 시간 내에 보낼 수있는 요청 수가 제한되어 있어도 차단되지 않고 계속 요청을 보낼 수있었습니다.
이런 문제를 제보한 사용자에게 페이스북은 $30000 를 지급하였다.
지금은 해결된 문제입니다.
2019년에도 대입공격이 가능했다니..
'보안 > news' 카테고리의 다른 글
보안 뉴스) "Apple ID 로 로그인" 기능이 보안상 문제있었다고?! (2) | 2020.06.02 |
---|
저작권 보호안내
무단 전재, 재배포 행위는 금지됩니다. (글을 복사하여 게시금지)
본문의 일부(링크용 문장) 인용은 가능하지만, 출처와 링크(a 태그)를 남기셔야 됩니다.
(웹툴을 이용하고, 스크린샷/녹화하는것은 상관없습니다.)
예외적으로. 저에게 허락받은 경우에는 본문을 전재할 수 있습니다.
만약, 본문 공유를 원하신다면 링크 공유를 해주세요
저작권 정책 확인하기링크 공유하기