Facebookに報告して$30Kの報奨金を受け取った人の体験談。モバイルのパスワード再設定で受け取る6桁コードを割り出すため、10分間にわたって1000個のIPから各200回ずつ数字を入力。合計20万回の数字入力でパスワードを突破。
ほとんどのサービスではRate Limitingがかかっているが、これを複数のIPで回避したもの。
実際にこれが防がれていなければ、IP 5000個(Amazonの費用で約$150)ほどで、どんなアカウントでもハックできたはずとのこと。
Facebookに報告して$30Kの報奨金を受け取った人の体験談。モバイルのパスワード再設定で受け取る6桁コードを割り出すため、10分間にわたって1000個のIPから各200回ずつ数字を入力。合計20万回の数字入力でパスワードを突破。
ほとんどのサービスではRate Limitingがかかっているが、これを複数のIPで回避したもの。
実際にこれが防がれていなければ、IP 5000個(Amazonの費用で約$150)ほどで、どんなアカウントでもハックできたはずとのこと。
2件のコメント
認証コードの入力に5回くらい失敗したら、認証コードを破棄して再発行させれば済む気がする……(うちも直さないといけないな)
記事にもあるが、パスワード再設定の方法はメールで受け取ったリンクをクリックする方式のほうがより安全だ