L’hacking degli account Facebook è una delle ricerche più frequenti tra gli utenti di Internet. Trovare un risultato valido per Come violare un account Facebook rimane un’impresa praticamente impossibile, ma non per un hacker indiano che proprio in questi giorni ci è riuscito.
Un esperto di sicurezza ha scoperto una semplice la vulnerabilità nel social network, che gli ha permesso di violare qualsiasi account Facebook, di accedere alle conversazioni delle chat, a qualsiasi post, ai dati delle carte di credito registrate nei profili riuscendo persino a trasferire del denaro dai conti associati a queste carte.
Anand Prakash, questo il nome del ricercatore indiano, ha recentemente scoperto una semplice vulnerabilità per il reset delle password in grado di dare a un criminale infinite opportunità per forzare il codice di protezione a 6 cifre e reimpostare la password di un account.
Ecco come funziona il bug
La vulnerabilità in realtà risiede nel modo in cui funzionano i domini beta per le richieste di password dimenticata di Facebook.
Facebook consente agli utenti di cambiare la password dei loro profili tramite un procedura per il reset della password che richiede la conferma dell’account Facebook con un codice a 6 cifre ricevuto via e-mail o in un messaggio di testo.
Per verificare l’autenticità degli utenti, Facebook consente al titolare dell’account di provare fino a dieci codici prima che la procedura si blocchi per impedire attacchi di tipo brute force.
Tuttavia, Prakash ha scoperto che il gigante dei social media non aveva attivato questa limitazione anche sui siti beta dedicati allo stesso servizio di reset password, beta.facebook.com e embasic.beta.facebook.com , come lo stesso esperto di sicurezza riporta in un post sul suo blog.
Prakash ha provato a forzare il codice a 6 cifre sulle pagine beta di Facebook nella finestra Hai dimenticato la password e ha scoperto che non vi è alcun limite fissato da Facebook sul numero di tentativi in queste pagine.
Video dimostrativo
Prakash ha anche fornito un video dimostrativo proof-of-concept (POC) che mostra l’attacco in funzione. È possibile guardare il video che mostra l’intera procedura:
https://blog.futuretime.eu//vimeo.com/158452537
Ecco il colpevole:
Come ha spiegato Prakash, la richiesta POST vulnerabile nelle pagine beta è:
lsd = AVoywo13 & n = XXXXX
Dove la ‘ n ‘ rappresenta il numero di tentativi consentiti per accedere all’account e nel caso delle pagine beta questo valore non era limitato, permettendo quindi a Prakash di lanciare un attacco brute force in qualsiasi account di Facebook che, una volta completato, gli avrebbe permesso di impostare una nuova password e di prendere il controllo completo di qualsiasi profilo del social network.
Prakash ( @sehacure ) ha scoperto la vulnerabilità nel mese di febbraio e ha segnalato il bug a Facebook il 22 febbraio. Il social network dopo aver risolto il problema il giorno successivo ha creduto opportuno ricompensare il ricercatore con 15000 dollari, considerando la gravità e le possibili conseguenze della vulnerabilità.
Lascia un commento