Я придумав спосіб зламати будь-який з 2 мільярдів акаунтів Facebook, і вони заплатили мені винагороду в 15 000 доларів ...

Я публікую це з дозволу Facebook відповідно до політики відповідального розголошення. Вони виправили цю вразливість.

Ця публікація стосується простої вразливості, яку я виявив у Facebook, яку я міг використати, щоб легко і без будь-якої взаємодії з користувачем зламати облікові записи інших користувачів у Facebook.

Це дало мені повний доступ до облікового запису інших користувачів, встановивши новий пароль. Я мав змогу переглядати повідомлення, їхні кредитні / дебетові картки, що зберігаються в їх платіжному розділі, особисті фотографії та іншу приватну інформацію.

Facebook негайно визнав проблему, виправив її та винагородив мене винагородою в 15 000 доларів США залежно від тяжкості та наслідків цієї вразливості.

Як працював хак

Кожного разу, коли користувач забуває свій пароль у Facebook, у нього є можливість скинути пароль, ввівши свій номер телефону та електронну адресу на //www.facebook.com/login/identify?ctx=recover&lwv=110.

Потім Facebook надішле 6-значний код на цей номер телефону або електронну адресу, яку користувач повинен ввести, щоб встановити новий пароль.

Я спробував грубо застосувати 6-значний код на www.facebook.com і був заблокований після 10–12 невірних спроб.

Потім я звернув увагу на той самий випуск на beta.facebook.com та mbasic.beta.facebook.com. Цікаво, що обмежена швидкість відсутня в кінцевій точці забутого пароля.

Я намагався заволодіти власним обліковим записом (відповідно до політики Facebook, ви не повинні завдавати шкоди обліковим записам інших користувачів), і мені вдалося встановити новий пароль для мого облікового запису. Потім я міг би використовувати цей самий пароль для входу у свій власний зламаний обліковий запис.

Доказ концептуального відео злому

Як ви можете бачити на відео, я зміг встановити новий пароль для користувача, грубо примусуючи код, який був надісланий на його електронну адресу та номер телефону.

Вразливий запит

POST /recover/as/code/ HTTP/1.1

Host: beta.facebook.com

lsd=AVoywo13&n=XXXXX

Груба примусова “n” успішно дозволила мені встановити новий пароль для будь-якого користувача Facebook.

Графік розкриття інформації

22 лютого 2016 р .: Звіт надіслано команді Facebook.

23 лютого 2016: Перевірено виправлення з мого кінця.

2 березня 2016 р.: Facebook вручає нагороду в розмірі 15 000 доларів