Reportan una sencilla vulnerabilidad en Facebook (ya corregida) que podría haberse usado para comprometer cualquier cuenta
Hay veces que no es necesario ahondar en un protocolo, hacer un complicado reversing o un tedioso fuzzing para encontrar una vulnerabilidad crítica que afecta a un servicio tan usado como Facebook. Basta con saber buscar y encontrar en el momento oportuno...
Este es el caso de la vulnerabilidad reportada el 22 de febrero por Anand Prakash que fue premiado con 15000$ USD (Facebook la corrigió el 2 de marzo).
Y, ¿en qué consistía? Pues ya sabes que si olvidas una contraseña en Facebook existe la opción de resetearla introduciendo un número de teléfono o dirección de correo electrónico en https://www.facebook.com/login/identify?ctx=recover&lwv=110. Luego Facebook envía un código de 6 dígitos para poder introducir una nueva contraseña. Si realizas un ataque de fuerza bruta sobre www.facebook.com serás bloqueado después de 10-12 intentos, pero parece que Facebook olvidó poner este umbral en beta.facebook.com y mbasic.beta.facebook.com:
POST /recover/as/code/ HTTP/1.1
Host: beta.facebook.com
lsd=AVoywo13&n=XXXXX
Efectivamente, cualquiera que sacara por fuerza bruta el código "n" podía resetear la contraseña de cualquier usuario de Facebook... impresionante.
Fuente: [Responsible disclosure] How I could have hacked all Facebook accounts
Este es el caso de la vulnerabilidad reportada el 22 de febrero por Anand Prakash que fue premiado con 15000$ USD (Facebook la corrigió el 2 de marzo).
Y, ¿en qué consistía? Pues ya sabes que si olvidas una contraseña en Facebook existe la opción de resetearla introduciendo un número de teléfono o dirección de correo electrónico en https://www.facebook.com/login/identify?ctx=recover&lwv=110. Luego Facebook envía un código de 6 dígitos para poder introducir una nueva contraseña. Si realizas un ataque de fuerza bruta sobre www.facebook.com serás bloqueado después de 10-12 intentos, pero parece que Facebook olvidó poner este umbral en beta.facebook.com y mbasic.beta.facebook.com:
POST /recover/as/code/ HTTP/1.1
Host: beta.facebook.com
lsd=AVoywo13&n=XXXXX
Efectivamente, cualquiera que sacara por fuerza bruta el código "n" podía resetear la contraseña de cualquier usuario de Facebook... impresionante.
Fuente: [Responsible disclosure] How I could have hacked all Facebook accounts
Este post es fabuloso.
ResponderEliminarMAs o menos algo asi estaba platicando el otro dia con mis amigos, quienes consideraban a Facebook como algo impenetrable, les compartire tu articulo ahora mismo... gracias!