Microsoft виплатила $ 50 тисяч незалежного експерта з інформаційної безпеки Лакшману Мутійя (Laxman Muthiyah) за виявлення критичної уразливості в веб-сервісах компанії. «Дірка» дозволяла зламувати облікові записи користувачів без їхнього відома. Дослідник розповів про це на порталі The Zero Hack.
Для скидання пароля облікового запису Microsoft компанія вимагає надати електронну пошту або номер мобільного телефону, щоб вислати семизначний код безпеки. Після його введення користувач може встановити новий пароль для облікового запису.
Мутійя виявив спосіб злому акаунтів через брутфорс-атаки — шляхом перебору можливих варіантів вищезгаданого коду безпеки. Спочатку експерт вивчив систему обробки паролів, яка обмежувала кількість одночасних запитів і блокувала зайві. Він з’ясував, що при відправці тисячу варіантів сервіс перевіряв лише 122 з них. На інші система реагувала повідомленням про помилку «Error 1211».
В результаті досліднику вдалося розробити алгоритм, що дозволяє обійти обмеження на кількість запитів. Як з’ясувалося, одночасна відправка кодів безпеки дозволяє обробити їх все без подальшого блокування. У підсумку йому вдалося відгадати необхідний код для скидання пароля.
Лакшман повідомив про уразливість в Microsoft, відправивши в компанію відповідний відеоролик. Після цього розробники внесли відповідні виправлення в систему і перерахували досліднику нагороду в розмірі $50 тисяч. Експерт подякував команді Microsoft Security Response Center за терплячість і виплачене винагороду. Докладніший звіт можна знайти на сторінці The Zero Hack.