Я нашел способ сломать любой из 2 миллиардов аккаунтов Facebook, и они заплатили мне вознаграждение в 15 000 долларов…

1656680408 ya nashel sposob slomat lyuboj iz 2 milliardov akkauntov facebook

от AppSecure

1*YxD3C1C9qLsIGG4pqLv7ig

Я публикую это с разрешения Facebook в соответствии с политикой ответственного раскрытия информации. Они исправили эту уязвимость.

В этой публикации говорится о простой уязвимости, которую я обнаружил в Facebook, которую я мог использовать, чтобы легко и без какого-либо взаимодействия с пользователем взломать учетные записи других пользователей в Facebook.

Это дало мне полный доступ к аккаунтам других пользователей, установив новый пароль. Мне удалось просмотреть сообщения, их кредитные/дебетные карты, хранящиеся в разделе платежей, личные фотографии и другую личную информацию.

Facebook немедленно признал проблему, исправил ее и вознаградил меня вознаграждением в размере 15 000 долларов США в зависимости от серьезности и влияния этой уязвимости.

Как работал хак

Каждый раз, когда пользователь забывает свой пароль в Facebook, у него есть возможность сбросить пароль, введя свой номер телефона и адрес электронной почты на https://www.facebook.com/login/identify?ctx=recover&lwv=110.

Затем Facebook отправит 6-значный код на номер телефона или адрес электронной почты, который пользователь должен ввести, чтобы установить новый пароль.

Я пытался ввести 6-значный код на сайте www.facebook.com и был заблокирован после 10–12 недействительных попыток.

Затем я обратил внимание на ту же проблему на beta.facebook.com и mbasic.beta.facebook.com. Интересно, что ограничение скорости отсутствовало в конечной точке забытого пароля.

Я пытался завладеть собственной учетной записью (согласно политике Facebook, вы не должны причинять вреда учетным записям других пользователей), и мне удалось установить новый пароль для своей учетной записи. Тогда я мог бы использовать тот же пароль, чтобы войти в собственную сломанную учетную запись.

Видео подтверждения концепции взлома

Как вы видите на видео, я смог установить новый пароль пользователя путем подбора кода, отправленного на его электронный адрес и номер телефона.

Уязвимый запрос

POST /recover/as/code/ HTTP/1.1

Host: beta.facebook.com

lsd=AVoywo13&n=XXXXX

Грубое форсирование «n» позволило мне установить новый пароль для любого пользователя Facebook.

График раскрытия информации

22 февраля 2016 г.: отчет отправлен команде Facebook.

23 февраля 2016 г.: Проверена поправка с моей стороны.

2 марта 2016: Facebook присудил вознаграждение в размере 15 000 долларов США

Добавить комментарий

Ваш адрес email не будет опубликован.