Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Facebook soluciona fallo que permitía hackear cuentas con ataques por fuerza bruta




Un fallo en el gestor del password reset de Facebook permitía hackear cualquier cuenta por fuerza bruta. El descubridor Anand Prakash ha ganado una recompensa de 15.000$ por reportar el fallo de forma responsable. Normalmente los ataques por fuerza bruta a base de probar combinaciones de contraseñas no suelen funcionar porque todas las empresas implementan sistemas de verificación como Captcha o limitan los intentos, pero Facebook olvidó implementar está contramedida en dos de sus dominios beta.facebook.com y m.beta.faceook.com


¿Cómo funciona el sistema de recuperación de cuentas de Facebook?

Facebook te enviará un código de 6 dígitos en su dirección de número de teléfono / correo electronico que usuario tiene que introducir con el fin de establecer una nueva contraseña. Intentó por fuerza bruta sacar el código de 6 dígitos en www.facebook.com y estaba bloqueado después de 10-12 intentos no válidos.

  • Facebook permite a los usuarios cambiar su contraseña mediante este procedimiento confirmando cuál es su cuenta a través de un código de 6 dígitos que se recibe por SMS o correo electrónico.
  • Para asegurarse de la autenticidad del usuario, Facebook permite al dueño de la cuenta probar hasta una docena de códigos antes de que el de confirmación se bloquee, debido a la protección contra ataques de fuerza bruta que limita el número de intentos.

La vulnerabilidad se encontraba en dos de los dominios beta de Facebook gestionan las peticiones de restablecimiento de contraseña
    Prakash descubrió es que Facebook no había implementado procedimientos de rate-limiting en este proceso en los sitios beta:

    beta.facebook.com  mbasic.beta.facebook.com

    según se puede leer en su blog. El investigador quiso introducir el código por fuerza bruta en estos sitios beta y descubrió que no existía un límite de intentos, tal y como se puede ver en el siguiente vídeo.



    Vulnerable request:

    POST /recover/as/code/ HTTP/1.1 Host: beta.facebook.com
    lsd=AVoywo13&n=XXXXX


    Un bug que vale 15.000 dólares


     La vulnerabilidad se descubrió el pasado mes de febrero, y obviamente no se ha hecho pública hasta ahora por motivos de seguridad. El informe del descubrimiento del bug se hizo el 22 de febrero, y se solucionó un día después. El gigante social pagó a Anand Prakash la nada despreciable cifra de 15.000 dólares por su decubrimiento.




    Es necesario tener en cuenta que, cuando se premia uno de estos descubrimientos, no se trata de recompensar a alguien por evitar daños corporativos. Lo que se pretende es recompensar la prevención de riesgos basándose en el impacto que el error tiene o podría tener en el futuro.

    Fuentes:
    http://www.malavida.com/noticias/asi-se-podia-hackear-cualquier-cuenta-de-facebook-hasta-hace-dias-006006
    http://www.anandpraka.sh/2016/03/how-i-could-have-hacked-your-facebook.html

    0 comentarios :

    Publicar un comentario

    Los comentarios pueden ser revisados en cualquier momento por los moderadores.

    Serán publicados aquellos que cumplan las siguientes condiciones:
    - Comentario acorde al contenido del post.
    - Prohibido mensajes de tipo SPAM.
    - Evite incluir links innecesarios en su comentario.
    - Contenidos ofensivos, amenazas e insultos no serán permitidos.

    Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.