by AppSecure
Publikuję to za zgodą Facebooka w ramach polityki odpowiedzialnego ujawniania informacji. Załatali tę lukę.
Ten post jest o prostej luce, którą odkryłem na Facebooku, którą mogłem wykorzystać do włamania się na konta innych użytkowników Facebooka łatwo i bez żadnej interakcji z użytkownikiem.
To dało mi pełny dostęp do konta innych użytkowników poprzez ustawienie nowego hasła. Byłem w stanie przeglądać wiadomości, ich karty kredytowe/debetowe przechowywane w sekcji płatności, osobiste zdjęcia i inne prywatne informacje.
Facebook niezwłocznie potwierdził ten błąd, naprawił go i nagrodził mnie nagrodą w wysokości 15 000 USD w oparciu o powagę i wpływ tej luki.
Jak działał hack
Gdy użytkownik zapomni swojego hasła na Facebooku, ma możliwość zresetowania hasła poprzez wpisanie swojego numeru telefonu i adresu e-mail na https://www.facebook.com/login/identify?ctx=recover&lwv=110.
Facebook następnie wyśle 6-cyfrowy kod na ten numer telefonu lub adres e-mail, który użytkownik musi wprowadzić w celu ustawienia nowego hasła.
Próbowałem sforsować 6-cyfrowy kod na www.facebook.com i zostałem zablokowany po 10-12 nieważnych próbach.
Potem wypatrzyłem ten sam problem na beta.facebook.com i mbasic.beta.facebook.com. Co ciekawe, brakowało ograniczenia prędkości w punkcie końcowym forgot password.
Próbowałem przejąć moje własne konto (zgodnie z polityką Facebooka, nie powinieneś robić żadnych szkód kontom innych użytkowników) i udało mi się ustawić nowe hasło dla mojego konta. Mogłem następnie użyć tego samego hasła do zalogowania się na moje własne zhakowane konto.
Dowód koncepcji wideo z włamania
Jak widać na filmie, byłem w stanie ustawić nowe hasło dla użytkownika poprzez brute forcing kodu, który został wysłany na jego adres e-mail i numer telefonu.
Zapytanie o podatność
POST /recover/as/code/ HTTP/1.1
Host: beta.facebook.com
lsd=AVoywo13&n=XXXXX
Brute forcing „n” z powodzeniem pozwolił mi ustawić nowe hasło dla dowolnego użytkownika Facebooka.
Disclosure Timeline
22 lutego 2016 : Raport wysłany do zespołu Facebooka.
23 lutego 2016 : Zweryfikowano poprawkę z mojej strony.
2 marca 2016 : Nagroda w wysokości $15,000 przyznana przez Facebook
.
Dodaj komentarz