Como hackear contas do Facebook? Basta perguntar aos seus objetivos para abrir um link

É 2019, e basta clicar em uma URL especialmente criada para permitir que um invasor hackear sua conta do Facebook sem qualquer interação adicional.

Um pesquisador de segurança descobriu uma vulnerabilidade crítica de falsificação de solicitações entre sites (CSRF) na plataforma de mídia social mais popular que poderia permitir que invasores roubassem contas do Facebook simplesmente enganando os usuários-alvo para que clicassem em um link.

O pesquisador, que usa o alias on-line “Samm0uda”, descobriu a vulnerabilidade depois de identificar um endpoint defeituoso (facebook.com/comet/dialog_DONOTUSE/) que poderia ter sido explorado para contornar as proteções do CSRF e a conta da vítima de controle.

“Isso é possível por causa de um endpoint vulnerável que recebe outro endpoint do Facebook selecionado pelo atacante junto com os parâmetros e faz uma requisição POST para esse endpoint depois de adicionar o parâmetro fb_dtsg”, diz o pesquisador em seu blog .

“Também este endpoint está localizado sob o domínio principal www.facebook.com, o que torna mais fácil para o atacante enganar suas vítimas para visitar a URL.”

Tudo o que o invasor precisa fazer é enganar as vítimas para que cliquem em um URL do Facebook especialmente criado, como mencionado em seu blog, para executar várias ações, como postar qualquer coisa na linha do tempo, alterar ou excluir a foto do perfil e enganar os usuários. contas inteiras do Facebook.

Exploit de 1 clique para conquistar completamente as contas do Facebook

Assumir o controle total das contas das vítimas ou enganá-las para excluir toda a sua conta do Facebook requer alguns esforços extras do lado do invasor, já que as vítimas precisam digitar sua senha antes que a conta seja excluída.

Para fazer isso, o pesquisador disse que exigiria que as vítimas visitassem dois URLs separados, um para adicionar o e-mail ou número de telefone e outro para confirmá-lo.

É “porque os endpoints ‘ normais ‘ usados ​​para adicionar e-mails ou números de telefone não têm um parâmetro ‘ next ‘ para redirecionar o usuário após um pedido bem-sucedido”, diz o pesquisador.

No entanto, o pesquisador ainda possibilitou a aquisição total da conta com um único URL, encontrando os pontos de extremidade em que o parâmetro ‘next’ está presente e autorizando um aplicativo mal-intencionado em nome das vítimas e obtendo seu token de acesso ao Facebook.

Com o acesso aos tokens de autenticação das vítimas, a exploração adiciona automaticamente um endereço de email controlado pelo invasor à sua conta, permitindo que o invasor aproveite totalmente as contas simplesmente redefinindo suas senhas e bloqueando os usuários legítimos de suas contas do Facebook.

Embora o controle total da conta do Facebook tenha envolvido várias etapas, o pesquisador disse que a exploração completa de um clique teria permitido que qualquer usuário malicioso roubasse sua conta do Facebook “em um piscar de olhos”.

Esses ataques de aquisição de conta podem ser atenuados se você tiver ativado a autenticação de dois fatores para sua conta do Facebook, impedindo que hackers façam login em suas contas até ou a menos que verifiquem o código de 6 dígitos enviado ao seu dispositivo móvel.

No entanto, qualquer atenuação não pode impedir que os hackers realizem algumas ações em seu nome, aproveitando essa vulnerabilidade, como alterar ou excluir fotos ou álbuns de seu perfil ou postar qualquer coisa em sua linha do tempo.

Samm0uda relatou a vulnerabilidade com os detalhes de sua exploração no Facebook em 26 de janeiro. A gigante da mídia social reconheceu a questão e a abordou em 31 de janeiro, recompensando o pesquisador com US $ 25.000 como parte do programa de recompensas de bugs do Facebook.

Canal theevolutiontech

Apenas mais um fã da grande rede , um maluco pela internet que passa grande parte do tempo conectado sempre a procura de novidades online , e sempre achando já que a rede é movida por novidades ...

Deixe um Comentário !