by AppSecure

Publikuję to za zgodą Facebooka w ramach polityki odpowiedzialnego ujawniania informacji. Załatali tę lukę.

Ten post jest o prostej luce, którą odkryłem na Facebooku, którą mogłem wykorzystać do włamania się na konta innych użytkowników Facebooka łatwo i bez żadnej interakcji z użytkownikiem.

To dało mi pełny dostęp do konta innych użytkowników poprzez ustawienie nowego hasła. Byłem w stanie przeglądać wiadomości, ich karty kredytowe/debetowe przechowywane w sekcji płatności, osobiste zdjęcia i inne prywatne informacje.

Facebook niezwłocznie potwierdził ten błąd, naprawił go i nagrodził mnie nagrodą w wysokości 15 000 USD w oparciu o powagę i wpływ tej luki.

Jak działał hack

Gdy użytkownik zapomni swojego hasła na Facebooku, ma możliwość zresetowania hasła poprzez wpisanie swojego numeru telefonu i adresu e-mail na https://www.facebook.com/login/identify?ctx=recover&lwv=110.

Facebook następnie wyśle 6-cyfrowy kod na ten numer telefonu lub adres e-mail, który użytkownik musi wprowadzić w celu ustawienia nowego hasła.

Próbowałem sforsować 6-cyfrowy kod na www.facebook.com i zostałem zablokowany po 10-12 nieważnych próbach.

Potem wypatrzyłem ten sam problem na beta.facebook.com i mbasic.beta.facebook.com. Co ciekawe, brakowało ograniczenia prędkości w punkcie końcowym forgot password.

Próbowałem przejąć moje własne konto (zgodnie z polityką Facebooka, nie powinieneś robić żadnych szkód kontom innych użytkowników) i udało mi się ustawić nowe hasło dla mojego konta. Mogłem następnie użyć tego samego hasła do zalogowania się na moje własne zhakowane konto.

Dowód koncepcji wideo z włamania

Jak widać na filmie, byłem w stanie ustawić nowe hasło dla użytkownika poprzez brute forcing kodu, który został wysłany na jego adres e-mail i numer telefonu.

Zapytanie o podatność

POST /recover/as/code/ HTTP/1.1

Host: beta.facebook.com

lsd=AVoywo13&n=XXXXX

Brute forcing „n” z powodzeniem pozwolił mi ustawić nowe hasło dla dowolnego użytkownika Facebooka.

Disclosure Timeline

22 lutego 2016 : Raport wysłany do zespołu Facebooka.

23 lutego 2016 : Zweryfikowano poprawkę z mojej strony.

2 marca 2016 : Nagroda w wysokości $15,000 przyznana przez Facebook

.