by AppSecure

Julkaisen tämän Facebookin luvalla vastuullisen julkistamiskäytännön mukaisesti. He ovat korjanneet tämän haavoittuvuuden.

Tämä viesti kertoo yksinkertaisesta haavoittuvuudesta, jonka löysin Facebookista ja jonka avulla olisin voinut murtautua muiden käyttäjien Facebook-tilille helposti ja ilman käyttäjän vuorovaikutusta.

Siten sain täyden pääsyn muiden käyttäjien tilille asettamalla uuden salasanan. Pystyin katsomaan viestejä, heidän maksuosioonsa tallennettuja luotto-/pankkikorttejaan, henkilökohtaisia valokuvia ja muita yksityisiä tietoja.

Facebook myönsi ongelman nopeasti, korjasi sen ja palkitsi minut 15 000 Yhdysvaltain dollarin palkkioilla haavoittuvuuden vakavuuden ja vaikutusten perusteella.

Miten hakkerointi toimi

Kun käyttäjä unohtaa salasanansa Facebookissa, hänellä on mahdollisuus palauttaa salasana syöttämällä puhelinnumeronsa ja sähköpostiosoitteensa https://www.facebook.com/login/identify?ctx=recover&lwv=110.

Facebook lähettää sitten 6-numeroisen koodin tähän puhelinnumeroon tai sähköpostiosoitteeseen, joka käyttäjän on syötettävä asettaakseen uuden salasanan.

Yritin murtaa 6-numeroista koodia osoitteessa www.facebook.com ja minut estettiin 10-12 virheellisen yrityksen jälkeen.

Sitten etsin samaa ongelmaa beta.facebook.com ja mbasic.beta.facebook.com. Mielenkiintoista oli, että nopeusrajoitus puuttui unohdin salasanan päätepisteestä.

Yritin ottaa oman tilini haltuuni (Facebookin käytäntöjen mukaan ei saa vahingoittaa muiden käyttäjien tilejä) ja onnistuin asettamaan tililleni uuden salasanan. Pystyin sitten käyttämään tätä samaa salasanaa kirjautuakseni omalle hakkeroidulle tililleni.

Hakkerin proof of concept -video

Kuten videolla näkyy, pystyin asettamaan käyttäjälle uuden salasanan murtautumalla raa’alla voimalla koodiin, joka lähetettiin käyttäjän sähköpostiosoitteeseen ja puhelinnumeroon.

Hyökkäyspyyntö

POST /recover/as/code/ HTTP/1.1

Host: beta.facebook.com

lsd=AVoywo13&n=XXXXX

Koodin ”n” murskaaminen onnistui, joten pystyin asettamaan uuden salasanan kenelle tahansa Facebook-käyttäjälle.

Paljastuksen aikajana

22. helmikuuta 2016 : Raportti lähetetty Facebook-tiimille.

23. helmikuuta 2016 : Tarkistin korjauksen omalta osaltani.

2. maaliskuuta 2016 : Facebook myönsi 15 000 dollarin palkkion

.