Gurkirat Singh é o responsável pela descoberta, e ele deixa claro que não é necessário ser um expert em informática para fazer isso, basta ter conhecimentos básicos e um pouco de lógica. Segundo o Gurkirat o grande X da questão esta na forma como o Facebook redefine a sua senha.
A rede social, usa um algoritmo que gera uma senha aleatória que é 10⁶=1.000.000 combinações possíveis e que não são alteradas até serem usadas, a solicitação também pode ser feita através do mbasic.facebook.com que funciona para qualquer conta.
Em resumo, ele explica que um grande número de pessoas ao redor do planeta poderia solicitar essa senha temporária, na verdade um código para alteração a senha. Digamos que cerca de 1 milhão de pessoas fizessem isso agora, então a solicitação 1,000,0001 vai obter um código que já havia sido atribuído ou gerado de forma ilegal,
Gurkirat continua explicando que as primeira IDs do Facebook válidos serão o primeiro lote de 1 milhao, o invasor poderá fazer consultas ao Facebook Graph API começando com 100.000.000.000.000, desde que o Facebook IDs são geralmente de 15 dígitos de comprimento e, em seguida, basta visitar o www.facebook.com/ [ID] com um número de identificação válido no lugar de [ID], aquele número que foi gerado para alterar a senha.
Uma vez inserido, o URL redirecionado automaticamente e muda o Facebook ID para o nome do usuário. Desta forma, ele foi capaz de fazer uma lista de 2 milhões de nomes de usuários do Facebook válidos.
Ele disse que já havia reportado o erro para o Facebook em 3 de Maio de 2016, mas o Facebook não acreditou na falha porque achou ilógica e sem nexo, e claro, confiou demais em seus analistas. E aí, o hacker desenvolveu uma plataforma simples que conseguia executar todos os passos acima de forma automatizada, o aplicativo criado conseguia alterar a senha rapidamente de 2 milhões de usuários do Facebook em pouco tempo.
Então ele pegou aleatoriamente um número de 6 dígitos, ou seja, 338625, e começou o processo de redefinição de senha usando um script de força bruta em todos os nomes de usuário em sua lista, na esperança de que este número houvesse sido atribuído pelo Facebook para alguém em sua lista de 2 milhões de nomes de usuário.
A falha neste momento foi corrigida, Gurkirat recebeu aproximadamente cerca de US$ 500, ele disse que acredita que o patch aplicado pelo Facebook não corrige a falha por completa, e que a rede social já esta tomando medidas para proteger a alteração de senhas por IP.
Para conferir a lista das contas hackeadas confira no link abaixo, não nos responsabilizamos por informações nelas contidas.
Fonte: http://www.sempreupdate.com.br/2016/08/como-hackear-facebook-gurkirat-singh.html
0 comentários:
Postar um comentário