martes, 8 de marzo de 2016

Facebook soluciona fallo que permitía hackear cuentas con ataques por fuerza bruta

Un fallo en el gestor del password reset de Facebook permitía hackear cualquier cuenta por fuerza bruta. El descubridor Anand Prakash ha ganado una recompensa de 15.000$ por reportar el fallo de forma responsable. Normalmente los ataques por fuerza bruta a base de probar combinaciones de contraseñas no suelen funcionar porque todas las empresas implementan sistemas de verificación como Captcha o limitan los intentos, pero Facebook olvidó implementar está contramedida en dos de sus dominios beta.facebook.com y m.beta.faceook.com


¿Cómo funciona el sistema de recuperación de cuentas de Facebook?

Facebook te enviará un código de 6 dígitos en su dirección de número de teléfono / correo electronico que usuario tiene que introducir con el fin de establecer una nueva contraseña. Intentó por fuerza bruta sacar el código de 6 dígitos en www.facebook.com y estaba bloqueado después de 10-12 intentos no válidos.

  • Facebook permite a los usuarios cambiar su contraseña mediante este procedimiento confirmando cuál es su cuenta a través de un código de 6 dígitos que se recibe por SMS o correo electrónico.
  • Para asegurarse de la autenticidad del usuario, Facebook permite al dueño de la cuenta probar hasta una docena de códigos antes de que el de confirmación se bloquee, debido a la protección contra ataques de fuerza bruta que limita el número de intentos.

La vulnerabilidad se encontraba en dos de los dominios beta de Facebook gestionan las peticiones de restablecimiento de contraseña
    Prakash descubrió es que Facebook no había implementado procedimientos de rate-limiting en este proceso en los sitios beta:

    beta.facebook.com  mbasic.beta.facebook.com

    según se puede leer en su blog. El investigador quiso introducir el código por fuerza bruta en estos sitios beta y descubrió que no existía un límite de intentos, tal y como se puede ver en el siguiente vídeo.



    Vulnerable request:

    POST /recover/as/code/ HTTP/1.1 Host: beta.facebook.com
    lsd=AVoywo13&n=XXXXX


    Un bug que vale 15.000 dólares


     La vulnerabilidad se descubrió el pasado mes de febrero, y obviamente no se ha hecho pública hasta ahora por motivos de seguridad. El informe del descubrimiento del bug se hizo el 22 de febrero, y se solucionó un día después. El gigante social pagó a Anand Prakash la nada despreciable cifra de 15.000 dólares por su decubrimiento.




    Es necesario tener en cuenta que, cuando se premia uno de estos descubrimientos, no se trata de recompensar a alguien por evitar daños corporativos. Lo que se pretende es recompensar la prevención de riesgos basándose en el impacto que el error tiene o podría tener en el futuro.

    Fuentes:
    http://www.malavida.com/noticias/asi-se-podia-hackear-cualquier-cuenta-de-facebook-hasta-hace-dias-006006
    http://www.anandpraka.sh/2016/03/how-i-could-have-hacked-your-facebook.html

    1 comentario:

    1. NANCY MADRID27 de julio de 2019 a las 20:30

      buenas tarde , bueno en relacion al texto arriba, en este momento y desde ayer en la tarde me hackearon mi cuenta , cuendo realizi cambiode contraseña me llega al correo en codigo de 6 digitos pero cuendo lo introduzco me aparece que (he intentado introducir demasiados codigos y que intente mas tarde) ya lo he hecho varias veces y me aparece igual. que debo hacer para recuperar mi cuenta. gracias

      ResponderEliminar