sexta-feira, 11 de março de 2016

Esqueci... da SEGURANÇA!



Hackear conta no Facebook é uma das principais consultas do usuário da Internet nos dias de hoje. Sabemos que é difícil de encontrar "como hackear conta no Facebook", mas um engenheiro de segurança indiano fez isso.

Um pesquisador de segurança descobriu uma "vulnerabilidade simples" na rede social que lhe permitiu entrar facilmente em qualquer conta do Facebook, ver mensagens, postar alguma coisa, ver os detalhes do cartão de pagamento e fazer o que quer como se fosse o dono real.

Anand Prakash da Índia descobriu recentemente uma vulnerabilidade no Password Reset, uma simples vulnerabilidade, que se tornaria algo crítico pois poderia dar a um hacker atacante infinitas oportunidades para a aplicar uma força bruta de um código de 6 dígitos e redefinir a senha de qualquer conta.

A vulnerabilidade reside realmente no caminho dos domínios beta do Facebook, podendo manipular o 'Esqueceu a senha'.

O Facebook permite que os usuários alterem suas senhas de conta através de um procedimento de redefinição de senha, confirmando a sua conta do Facebook com um código de 6 dígitos recebidos via e-mail ou mensagem de texto.

Para garantir a genuinidade do usuário, o Facebook permite que o titular da conta tente até uma dúzia de códigos, senão a sua conta acaba sendo bloqueada devido à proteção de força bruta que limita um grande número de tentativas.

No entanto, Prakash descobriu que a gigante de mídia social não tinha implementado esse seu processo de redefinição de senha nos sites beta, que limita a velocidade beta.facebook.com e mbasic.beta.facebook.com, de acordo com um post publicado por Prakash.

Prakash implementou a força bruta com um código de 6 dígitos nas páginas do Facebook beta na janela 'Esqueci minha senha' e descobriu que não há nenhum limite estabelecido pelo Facebook sobre o número de tentativas para páginas beta. Ao contrário da normal.

Força bruta do 'n' permitiu com sucesso Prakash para lançar um ataque de força bruta em qualquer conta do Facebook, definindo uma nova senha, assumindo o controle completo de qualquer conta.

Prakash ( @sehacure ) descobriu a vulnerabilidade no mês de  fevereiro e relatou ao Facebook em 22 de Fevereiro A rede social corrigiu o problema no dia seguinte ao aviso, e o hacker ganhou  US$ 15.000 como uma recompensa, considerando a gravidade e impacto da vulnerabilidade.


Nenhum comentário:

Postar um comentário