Búsqueda automatizada de cuentas Facebook asociadas a un correo electrónico o teléfono
No hace falta escribir una introducción de lo que es Facebook, creo que ya todos sabemos lo malo que es. El tema de la privacidad siempre ha sido un problema para Facebook, ya que si no existiera ese concepto su negocio sería más fácil.
Existen muchas formas de encontrar a personas que usen Facebook, como usar el propio buscador o simplemente consultando el nombre de una persona en Google. Sin ser usuario registrado, es posible conocer a todos los contactos de un usuario, acceder a la foto del perfil, conocer su nombre y si todo sale bien podemos encontrar detalles sobre su vida.
Lo que les comentaré ahora, corresponde a un fallo de seguridad encontrado en la versión móvil de Facebook, que obviamente, afecta a todos los usuarios. Este bug nos permite saber si existe una cuenta asociada a una dirección de correo o número telefónico.
Antes de decidirme a escribir, conversé con distintas personas sobre el tema para ver si no era sólo yo quien veía una vulnerabilidad donde ellos veian una "característica". Si bien cualquier usuario podría "importar" una lista de correos y buscar coincidencias o simplemente usar el buscador de Facebook ingresando la dirección de un correo, el proceso también puede hacerse de forma automatizada, sin ningún tipo de filtros y pudiendo fastidiar a más de un usuario. Curiosamente, esto no se puede hacer en la versión principal de la red social, ya que tiene un CAPTCHA que no permite al bot realizar su trabajo.
El bug se encuentra en la opción "Recuperar contraseña" de la versión mobile (m.facebook.com), el formulario encargado del proceso de reinicio de contraseña no tiene ningún tipo de validación, carece de captchas y no tiene tokens de seguridad, por lo que es posible realizar peticiones POST desde sitios remotos o usando herramientas como curl o wget. Es posible aprovecharse de este bug y explotar la vulnerabilidad para enumerar usuarios según una lista de direcciones de correo o de números telefónicos. Para este ejemplo utilizaré direcciones de correos tomadas desde distintas páginas de "contactos" al azar.
Contenido completo en fuente original Security by Default
Existen muchas formas de encontrar a personas que usen Facebook, como usar el propio buscador o simplemente consultando el nombre de una persona en Google. Sin ser usuario registrado, es posible conocer a todos los contactos de un usuario, acceder a la foto del perfil, conocer su nombre y si todo sale bien podemos encontrar detalles sobre su vida.
Lo que les comentaré ahora, corresponde a un fallo de seguridad encontrado en la versión móvil de Facebook, que obviamente, afecta a todos los usuarios. Este bug nos permite saber si existe una cuenta asociada a una dirección de correo o número telefónico.
Antes de decidirme a escribir, conversé con distintas personas sobre el tema para ver si no era sólo yo quien veía una vulnerabilidad donde ellos veian una "característica". Si bien cualquier usuario podría "importar" una lista de correos y buscar coincidencias o simplemente usar el buscador de Facebook ingresando la dirección de un correo, el proceso también puede hacerse de forma automatizada, sin ningún tipo de filtros y pudiendo fastidiar a más de un usuario. Curiosamente, esto no se puede hacer en la versión principal de la red social, ya que tiene un CAPTCHA que no permite al bot realizar su trabajo.
El bug se encuentra en la opción "Recuperar contraseña" de la versión mobile (m.facebook.com), el formulario encargado del proceso de reinicio de contraseña no tiene ningún tipo de validación, carece de captchas y no tiene tokens de seguridad, por lo que es posible realizar peticiones POST desde sitios remotos o usando herramientas como curl o wget. Es posible aprovecharse de este bug y explotar la vulnerabilidad para enumerar usuarios según una lista de direcciones de correo o de números telefónicos. Para este ejemplo utilizaré direcciones de correos tomadas desde distintas páginas de "contactos" al azar.
Contenido completo en fuente original Security by Default
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!