Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1086
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
marzo
(Total:
36
)
- Doble factor de autenticación o verificación en do...
- CopperheadOS es el fork abierto ultraseguro de And...
- Cabeceras de Seguridad HTTPS en el servidor web Ng...
- Lexar presenta una tarjeta microSDXC UHS-I de 200GB
- Gigabyte presenta la nueva GTX 960 Xtreme Gaming
- El FBI logra hackear el iPhone de San Bernardino
- 1 de cada 4 internautas españoles utiliza adblockers
- Aplicaciones bancarias móviles: la mayoría no apru...
- Las nuevas tarjetas contactless NFC no son tan seg...
- Apple criticada tras “burlarse de la gente pobre”
- Cómo tener dos cuentas a la vez de WhatsApp, Faceb...
- Cellebrite, la compañía israelí que ayuda al FBI a...
- La piratería de la TV de pago con CardSharing
- Kali Linux 2.1.2 para dispositivos ARM ya es compa...
- La herramienta BinDiff es ahora gratuita
- Surprise, un ransomware que se instala a través de...
- Empleados de Apple amenazan con dimitir antes de s...
- Un estudiante se imprime un aparato dental en 3D p...
- El propietario de una conexión wifi en un bar no e...
- ProtonMail, el correo cifrado, ultraseguro y libre...
- Metaphor, un exploit basado en Stagefright, secues...
- Así obtuvo las fotos íntimas de famosas el hacker ...
- Google Nexus 5X y Nexus 6P bajan de precio
- Navega de forma anónima (VPN + TOR) con un router ...
- PiDrive, el disco duro económico de 314 GB para la...
- AMD anuncia Radeon Pro Duo, la tarjeta gráfica más...
- El error ortográfico de un delincuente le impide r...
- Verizon pagará 1,2 millones a las autoridades esta...
- Facebook soluciona fallo que permitía hackear cuen...
- KeRanger es el primer ataque de ransomware para Ma...
- Recopilación comandos Windows con interfaz gráfica
- SSD de 16TB de Samsung ya está a la venta a un pre...
- Cazan a Kanye West, defensor del copyright, con un...
- DROWN: vulnerabilidad crítica en sitios HTTPS con ...
- FBI reconoce un error al manejar el iphone del aut...
- Facebook activa la posibilidad de emitir vídeo en ...
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
236
)
manual
(
221
)
software
(
206
)
hardware
(
196
)
linux
(
126
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Pegasus es uno de los programas espía más avanzados y peligrosos del mundo. Puede instalarse en dispositivos Android e iOS sin que los usu...
-
Distributed Denial of Secrets ( DDoSecrets ), la organización sin fines de lucro dedicada a la denuncia de irregularidades, celebra su sex...
Facebook soluciona fallo que permitía hackear cuentas con ataques por fuerza bruta
martes, 8 de marzo de 2016
|
Publicado por
el-brujo
|
Editar entrada
Un fallo en el gestor del password reset de Facebook permitía hackear cualquier cuenta por fuerza bruta. El descubridor Anand Prakash ha ganado una recompensa de 15.000$ por reportar el fallo de forma responsable. Normalmente los ataques por fuerza bruta a base de probar combinaciones de contraseñas no suelen funcionar porque todas las empresas implementan sistemas de verificación como Captcha o limitan los intentos, pero Facebook olvidó implementar está contramedida en dos de sus dominios beta.facebook.com y m.beta.faceook.com
La vulnerabilidad se encontraba en dos de los dominios beta de Facebook gestionan las peticiones de restablecimiento de contraseña
según se puede leer en su blog. El investigador quiso introducir el código por fuerza bruta en estos sitios beta y descubrió que no existía un límite de intentos, tal y como se puede ver en el siguiente vídeo.
La vulnerabilidad se descubrió el pasado mes de febrero, y obviamente no se ha hecho pública hasta ahora por motivos de seguridad. El informe del descubrimiento del bug se hizo el 22 de febrero, y se solucionó un día después. El gigante social pagó a Anand Prakash la nada despreciable cifra de 15.000 dólares por su decubrimiento.
Es necesario tener en cuenta que, cuando se premia uno de estos descubrimientos, no se trata de recompensar a alguien por evitar daños corporativos. Lo que se pretende es recompensar la prevención de riesgos basándose en el impacto que el error tiene o podría tener en el futuro.
Fuentes:
http://www.malavida.com/noticias/asi-se-podia-hackear-cualquier-cuenta-de-facebook-hasta-hace-dias-006006
http://www.anandpraka.sh/2016/03/how-i-could-have-hacked-your-facebook.html
¿Cómo funciona el sistema de recuperación de cuentas de Facebook?
Facebook te enviará un código de 6 dígitos en su dirección de número de teléfono / correo electronico que usuario tiene que introducir con el fin de establecer una nueva contraseña. Intentó por fuerza bruta sacar el código de 6 dígitos en www.facebook.com y estaba bloqueado después de 10-12 intentos no válidos.- Facebook permite a los usuarios cambiar su contraseña mediante este procedimiento confirmando cuál es su cuenta a través de un código de 6 dígitos que se recibe por SMS o correo electrónico.
- Para asegurarse de la autenticidad del usuario, Facebook permite al dueño de la cuenta probar hasta una docena de códigos antes de que el de confirmación se bloquee, debido a la protección contra ataques de fuerza bruta que limita el número de intentos.
La vulnerabilidad se encontraba en dos de los dominios beta de Facebook gestionan las peticiones de restablecimiento de contraseña
beta.facebook.com mbasic.beta.facebook.com
según se puede leer en su blog. El investigador quiso introducir el código por fuerza bruta en estos sitios beta y descubrió que no existía un límite de intentos, tal y como se puede ver en el siguiente vídeo.
Vulnerable request:
POST /recover/as/code/ HTTP/1.1 Host: beta.facebook.comlsd=AVoywo13&n=XXXXX
Un bug que vale 15.000 dólares
La vulnerabilidad se descubrió el pasado mes de febrero, y obviamente no se ha hecho pública hasta ahora por motivos de seguridad. El informe del descubrimiento del bug se hizo el 22 de febrero, y se solucionó un día después. El gigante social pagó a Anand Prakash la nada despreciable cifra de 15.000 dólares por su decubrimiento.
Es necesario tener en cuenta que, cuando se premia uno de estos descubrimientos, no se trata de recompensar a alguien por evitar daños corporativos. Lo que se pretende es recompensar la prevención de riesgos basándose en el impacto que el error tiene o podría tener en el futuro.
Fuentes:
http://www.malavida.com/noticias/asi-se-podia-hackear-cualquier-cuenta-de-facebook-hasta-hace-dias-006006
http://www.anandpraka.sh/2016/03/how-i-could-have-hacked-your-facebook.html
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
1 comentarios :
buenas tarde , bueno en relacion al texto arriba, en este momento y desde ayer en la tarde me hackearon mi cuenta , cuendo realizi cambiode contraseña me llega al correo en codigo de 6 digitos pero cuendo lo introduzco me aparece que (he intentado introducir demasiados codigos y que intente mas tarde) ya lo he hecho varias veces y me aparece igual. que debo hacer para recuperar mi cuenta. gracias
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.