by AppSecure

Ezt a Facebook engedélyével teszem közzé a felelős nyilvánosságra hozatal szabályzata alapján. Ők már kijavították ezt a sebezhetőséget.

Ez a bejegyzés egy egyszerű sebezhetőségről szól, amelyet a Facebookon fedeztem fel, és amellyel könnyedén és felhasználói beavatkozás nélkül betörhettem volna más felhasználók Facebook-fiókjaiba.

Ez egy új jelszó beállításával teljes hozzáférést biztosított számomra más felhasználók fiókjához. Képes voltam megtekinteni az üzeneteiket, a fizetési részlegük alatt tárolt hitel/betéti kártyáikat, személyes fotóikat és egyéb személyes adataikat.

A Facebook azonnal elismerte a problémát, kijavította azt, és a sebezhetőség súlyossága és hatása alapján 15 000 amerikai dolláros fejpénzzel jutalmazott.

Hogyan működött a hack

Amikor egy felhasználó elfelejti jelszavát a Facebookon, lehetősége van a jelszó visszaállítására a telefonszám és az e-mail cím https://www.facebook.com/login/identify?ctx=recover&lwv=110 megadásával.

A Facebook ezután egy 6 számjegyű kódot küld erre a telefonszámra vagy e-mail címre, amelyet a felhasználónak be kell írnia az új jelszó beállításához.

Megpróbáltam a 6 számjegyű kódot brute force módszerrel kikényszeríteni a www.facebook.com oldalon, és 10-12 érvénytelen kísérlet után blokkoltak.

Ezután ugyanezt a problémát kerestem a beta.facebook.com és az mbasic.beta.facebook.com oldalon. Érdekes módon az aránykorlátozás hiányzott a jelszó elfelejtése végpontról.

Megpróbáltam átvenni a saját fiókomat (a Facebook irányelvei szerint nem szabad kárt tenni más felhasználók fiókjaiban), és sikeresen beállítottam egy új jelszót a fiókomhoz. Ezt követően ugyanezzel a jelszóval tudtam bejelentkezni a saját feltört fiókomba.

A hackelésről készült proof of concept videó

Amint a videón látható, sikerült új jelszót beállítanom a felhasználónak az e-mail címére és telefonszámára küldött kód brutális kényszerítésével.

Sérülékeny kérés

POST /recover/as/code/ HTTP/1.1

Host: beta.facebook.com

lsd=AVoywo13&n=XXXXX

Az “n” brute forcing sikeresen lehetővé tette, hogy új jelszót állítsak be bármelyik Facebook felhasználónak.

Az idővonal közzététele

Febr 22nd, 2016 : Jelentést küldtem a Facebook csapatának.

Febr. 23., 2016 : Ellenőriztem a javítást a saját részemről.

2016. március 2. : A Facebook 15.000 dolláros fejpénzt tűzött ki

.