Microsoft выплатила $50 тысяч независимому эксперту по информационной безопасности Лакшману Мутийя (Laxman Muthiyah) за обнаружение критической уязвимости в веб-сервисах компании. «Дыра» позволяла взламывать учётные записи пользователей без их ведома.
Для сброса пароля учётной записи Microsoft компания требует предоставить электронную почту или номер мобильного телефона, чтобы выслать семизначный код безопасности. После его ввода пользователь может установить новый пароль для аккаунта.
Мутийя обнаружил способ взлома аккаунтов через брутфорс-атаки — путём перебора возможных вариантов вышеупомянутого кода безопасности. Сначала эксперт изучил систему обработки паролей, которая ограничивала количество одновременных запросов и блокировала лишние. Он выяснил, что при отправке 1000 вариантов сервис проверял лишь 122 из них. На остальные система реагировала сообщением об ошибке «Error 1211».
В результате исследователю удалось разработать алгоритм, позволяющий обойти ограничение на количество запросов. Как выяснилось, одновременная отправка кодов безопасности позволяет обработать их все без дальнейшей блокировки. В итоге ему удалось отгадать необходимый код для сброса пароля.
Лакшман сообщил об уязвимости в Microsoft, отправив в компанию соответствующий видеоролик. После этого разработчики внесли соответствующие исправления в систему и перечислили исследователю награду в размере $50 тысяч, сообщает 3dnews.ru.