Anand Prakash นักวิจัยด้านความปลอดภัยจากประเทศอินเดียพบช่องโหว่ Brute-force PIN Code ในขั้นตอนการ reset password ของ Facebook ส่งผลให้สามารถ takeover account หรือยึดบัญชีผู้ใช้ Facebook ของคนอื่นได้,
โดย Prakash ให้รายละเอียดว่าเมื่อผู้ใช้ลืมรหัสผ่านของ Facebook จะมีออฟชั่นให้เพื่อ reset password โดยใส่เบอร์โทรศัพท์และอีเมลเพื่อยืนยันการเป็นเจ้าของ Account จากนั้น Facebook จะส่ง code จำนวน 6 หลักมาให้กรอกเพื่อยืนยันและทำการตั้งรหัสผ่านใหม่ในขั้นตอนต่อไป, Prakash ได้ทำการทดลอง brute-force ตัวเลข 6 หลักไปที่ www.facebook.com และถูกบล๊อกหลังจากตัวเลข pin code 6 หลักนั้นผิดจำนวนมากกว่า 10 ครั้ง นอกจากนั้น Prakash ได้ทดสอบกับโดเมนอื่นๆบน Facebook ได้แก่ beta.facebook.com และ mbasic.beta.facebook.com ซึ่งเมื่อมีการ Bruteforce เลข 6 หลักที่เป็น pin code พบว่าไม่มีการบล๊อกแต่อย่างใด จึงทำให้สามารถ brute-force ตัวเลข 6 หลักและ reset password ของ Facebook ได้
อย่างไรก็ตาม Facebook ทราบถึงช่องโหว่ดังกล่าวและจ่ายเงินรางวัลให้กับ Prakash เป็นจำนวนเงิน $15,000 อีกด้วย
ที่มา : thehackernews