Як хакери можуть зламати ваш обліковий запис в Facebook

1. способи
2. 1. Зламати будь-який обліковий запис «Facebook» за допомогою SMS
3. приклад запиту
4. 2. Зламати будь-який обліковий запис «Facebook», використовуючи атаки методом підбору пароля
5. приклад запиту
6. 3. Зламати будь-який обліковий запис «Facebook», використовуючи атаки методом підбору пароля - 2 варіант
7. Приклад запиту виглядає наступним чином:
8. 4. Зламати будь-який обліковий запис Facebook, використовуючи метод Cross-Site Request Forgery
9. URL повинен виглядати так:
10. 5. Зламати будь-який обліковий запис Facebook, використовуючи CSRF - 2
11. 6. Злом будь-яких дій в обліковому записі Facebook
12. Приклад облікового запису для запиту CSRF виглядає так:
13. 7. Зламати будь-яку сторінку Facebook, яка є адміністратором
14. Приклад запиту:
15. 8. Зламати приватні фотографії користувачів Facebook
16. Приклад запиту для обмежувати доступ до певних фотографій жертви виглядає так:
17. 9. Зламати будь-які фотографії користувачів Facebook
18. 10. Зламати будь-які фотографії або відеозапису користувачів Facebook
19. Приклад запиту на видалення будь-якого фотоальбому «Facebook»:
20. 11. Зламати будь відеозапису в Facebook
21. Приклад запиту:

Наша взаимовыгодная связь https://banwar.org/

Читайте про всі можливі способи зламати обліковий запис в Facebook. Починаючи від методів підбору пароля і фішингу, до більш складних заходів. «Як зламати Facebook?» - це питання є одним з найбільш популярних пошукових запитів в Інтернеті. Багато з нас погано уявляють, як зламати чиюсь обліковий запис «Facebook» , Адже це дуже непросте завдання, по крайней мере, для новачків.

В Інтернеті є безліч веб-сайтів, де ви можете знайти величезну кількість інструментів і методів для злому облікового запису в «Facebook». Але більшість з них є підробленими, а решта потребують ретельної технічної перевірки. Будь ласка, остерігайтеся інструментів для злому «Facebook», так як більшість таких інструментів фактично зламають ваш обліковий запис замість аккаунта іншого цільового користувача.

Якщо хакери (шахраї) можуть зламати обліковий запис в «Facebook», це означає, що вони знайшли вразливість безпеки облікового запису та мають інструмент доступу до неї. Вони можуть продати його на чорному ринку і заробити великі гроші. Або скористатися ним самостійно і заробити на продажу інформації. В такому випадку, навіщо шахраям безкоштовно пропонувати свій метод онлайн? Чому вони повинні створювати інструмент, ризикувати, витрачати час і ресурси, і викладати його в Інтернет абсолютно безкоштовно? Вони нічого не отримують взамін, розміщуючи його в Інтернеті, чи не так?

Таким чином, зі сто відсотковою впевненістю можна стверджувати, що безкоштовні інструменти злому, які ви бачите в Інтернеті, все підроблені. Не витрачайте свій дорогоцінний час на пошук таких інструментів.

Але якщо все методи злому «Facebook» потребують перевірки, то чому багато людей стають жертвами злому їх власного облікового запису?

Є кілька методів злому облікового запису, один з таких фішинг (phishing), які можна легко виконати, використовуючи ресурси, доступні в Інтернеті. Ми вже писали про таких методах раніше в нашій статті «Що таке фішинг, загальне уявлення і приклади» .

Продавати способи злому облікового запису та інформацію, отриману в результаті такого злому, на чорному ринку або іншій третій стороні - це, безумовно, кіберзлочинами. Але існує такий спосіб, яким ви, зламуючи «Facebook», можете заробляти етично і абсолютно легально. Такий спосіб називається програма «Bug Bounty».

Програма «Bug Bounty» - це програма, де білі хакери (whitehat hackers - фахівці з комп'ютерної безпеки, що спеціалізуються на тестуванні безпеки комп'ютерних систем) намагаються виявити помилки і уразливості «Facebook». І згідно відповідальної політики розкриття інформації вони повідомляють про знайдені загрози в службу безпеки «Facebook». Служба безпеки швидко аналізує і виправляє знайдені помилки і уразливості, а потім винагороджує хакера за виконану роботу.

Ми розглянемо види вразливостей соціальної мережі «Facebook», виправлені завдяки програмі «Bug Bounty», які могли б дозволити шахраю зламати будь-який обліковий запис «Facebook». Зверніть увагу, що всі перераховані тут уразливості виправлені командою програмістів «Facebook» і більше не працюють. Але ви отримаєте загальне уявлення про те, як хакери можуть зламати будь-який обліковий запис «Facebook».

способи

1. Зламати будь-який обліковий запис «Facebook» за допомогою SMS.
2. Зламати будь-який обліковий запис «Facebook», використовуючи атаки методом підбору пароля.
3. Зламати будь-який обліковий запис «Facebook», використовуючи атаки методом підбору пароля - 2 варіант.
4. Зламати будь-який обліковий запис Facebook, використовуючи метод Cross-Site Request Forgery.
5. Зламати будь-який обліковий запис Facebook, використовуючи CSRF - 2.
6. Злом будь-яких дій в обліковому записі Facebook.
7. Зламати будь-яку сторінку Facebook, яка є адміністратором.
8. Зламати приватні фотографії користувачів Facebook.
9. Зламати будь-які фотографії користувачів Facebook.
10. Зламати будь-які фотографії або відеозапису користувачів Facebook.
11. Зламати будь відеозапису в Facebook.

1. Зламати будь-який обліковий запис «Facebook» за допомогою SMS

Ця вразливість може дозволити користувачеві швидко зламати обліковий запис «Facebook» за лічені секунди. Все, що вам потрібно, це активний номер мобільного телефону. Цей недолік існував на останньому етапі підтвердження номера, коли користувач підтверджує свій номер мобільного телефону.

Скористатися цією вразливістю дуже просто. Ви повинні відправити повідомлення в наступному форматі.

«FBOOK to 32665» (для користувачів США)

У відповідь ви отримаєте короткий код. Потім виконайте запит на сервер «Facebook», приклавши до нього цільової ідентифікатор користувача, отриманий короткий код і кілька інших параметрів. Ось і все чарівництво.

приклад запиту

Post /ajax/settings/mobile/confirm_phone.php
Host: www.facebook.com

profile_id = <target_user_id> & code = <short_code> & other_boring_parameters

Тепер ваш номер мобільного телефону буде прикріплений до облікового запису користувача (цільової ідентифікатор якого ви відправили) після отримання відповіді від сервера «Facebook». Потім ви можете надіслати запит на зміну пароля за допомогою номера мобільного телефону і легко зламати поточну цільову обліковий запис.

Ця вразливість була виявлена ​​комп'ютерним фахівцем по імені Jack в 2013 році. Служба безпеки «Facebook» виправила проблему досить швидко і винагородила його премією в розмірі 20 000 доларів США в рамках своєї програми бонусів.

2. Зламати будь-який обліковий запис «Facebook», використовуючи атаки методом підбору пароля

Саме так вчинив користувач Anand в 2016 році. Для злому облікового запису він використовував метод «грубої сили» - повний перебір всіх можливих варіантів вирішення завдання. За що і був винагороджений службою «Facebook» грошовою премією в розмірі 15 000 доларів США як частина програми «Bug Bounty».

Цей недолік був виявлений в кінцевій точці відновлення пароля до аккаунту в «Facebook». Всякий раз, коли користувач забуває свій пароль, він може змінити його за допомогою цієї опції, вказавши свій номер мобільного телефону або адресу електронної пошти.

Шестизначний код буде відправлений користувачеві для перевірки того, чи зроблений запит власником облікового запису. Користувач може потім змінити свій пароль, ввівши 6-значний код підтвердження.

Практично неможливо перебрати всі варіанти шестизначного коду і використовувати їх для підтвердження права доступу до аккаунту, так як сервер «Facebook» надає вам всього від 10 до 12 спроб ввести різні комбінації коду підтвердження. Потім служба безпеки «Facebook» тимчасово заблокує обліковий запис для скидання пароля.

Anand виявив, що субдомени «mbasic.facebook.com» і «beta.facebook.com» не змогли пройти перевірку методом «грубої сили». Це дозволяє перепробувати всі можливі варіанти шестизначного коду і отримати можливість змінювати обліковий запис.

приклад запиту

Post / recover / as / code /
Host: mbasic.facebook.com

n = <6_digit_code> & other_boring_parameters

Спроба перебору всіх можливих варіантів параметра (n = 123456) дозволяє зловмисникові встановити новий пароль для будь-якого користувача «Facebook». Це може бути досягнуто будь-яким інструментом для підбору пароля, доступного в Інтернеті.

Технічна служба компанії «Facebook» виправила цю уразливість, встановивши обмеження для кількості спроб, які можна виконати в кінцевій точці скидання коду.

3. Зламати будь-який обліковий запис «Facebook», використовуючи атаки методом підбору пароля - 2 варіант

Arun виявив таку ж вразливість до методу «грубої сили», але вже в іншому субдомені «Facebook» (lookaside.facebook.com), за що за програмою «Bug Bounty» отримав винагороду в розмірі 10 000 доларів США від «Facebook» в 2016 році.

Спочатку служба безпеки «Facebook» відхилила помилку, пояснивши це тим, що вони не можуть її відтворити. Повідомлення про уразливість було прийнято тільки через кілька тижнів, і виправлення помилки було виконано, як тільки служба безпеки «Facebook» змогла відтворити проблему.

Приклад запиту виглядає наступним чином:

Post / recover / as / code /
Host: lookaside.facebook.com

n = <6_digit_code> & other_boring_parameters

Сценарій атаки точно такий же, як ми описували в попередньому методі, і єдиною відмінністю є тільки доменне ім'я.

4. Зламати будь-який обліковий запис Facebook, використовуючи метод Cross-Site Request Forgery

Cross-Site Request Forgery (CSRF) - це тип змішаної атаки заміщення, який використовує аутентифікацію і авторизацію користувача-жертви при відправці підробленого запиту на веб-сервер.

Цей метод вимагає, щоб користувач, чий акаунт планують зламати, відвідав посилання веб-сайту (в браузері, який користувач буде використовувати для входу в систему «Facebook»), щоб завершити хакерську атаку.

Уразливість CSRF існувала на останньому етапі при вимозі адреси електронної пошти «Facebook». Коли користувач запитує адресу електронної пошти, то перевірка з боку сервера не проводилася, звідки користувач робить запит. Таким чином, уразливість дозволяла запитувати електронного листа для всіх облікових записів «Facebook».

Перед створенням сторінки атаки CSRF вам потрібно отримати URL-адресу вимоги для зміни адреси електронної пошти. Для цього спробуйте змінити свою адресу електронної пошти на адресу електронної пошти, який вже використовується для іншого облікового запису «Facebook». Потім вам буде запропоновано перевірити електронного листа, якщо воно належить вам.

Спливаюче вікно із запитом має перенаправити вас на URL-адресу, який нам потрібен, після натискання кнопки запиту.

URL повинен виглядати так:

https://www.facebook.com/support/openid/accept_hotmail.php?appdata=%7B%22fbid%22%3A%22&code= <code>

У вас є URL. Останнє, що залишилося зробити, це створити сторінку для розміщення URL-адреси в «iframe» і відправити її жертві.

Адреса електронної пошти буде прикріплений до облікового запису «Facebook» жертви, як тільки він перейде на сторінку. От і все. Тепер ви можете зламати обліковий запис «Facebook» за допомогою опції скидання пароля.

Ця вразливість захоплення облікового запису CSRF була знайдена людиною на ім'я Dan Melamed в 2013 році і була негайно виправлена фахівцями з безпеки «Facebook».

5. Зламати будь-який обліковий запис Facebook, використовуючи CSRF - 2

Ця хакерська техніка схожа на попередній метод, де жертві також необхідно відвідати сайт зловмисника, щоб атака спрацювала.

Ця вразливість була виявлена ​​в кінцевій точці імпорту контактів. Коли користувач дозволяє службам «Facebook» отримати доступ до своїх контактів в «Microsoft Outlook», сервер «Facebook» робить запит і додає їх до відповідної обліковий запис «Facebook».

Це можна зробити, вибравши «Знайти контакти в Facebook» в облікового запису. Потім ви повинні знайти наступний запит, зроблений на сервер Facebook (використовуйте перехоплення проксі-сервера)

https://m.facebook.com/contact-importer/login?auth_token=

Той же запит може використовуватися і для атаки CSRF. Все, що вам потрібно зробити, це вставити URL-адресу в «iframe» на сторінці атаки і поділитися посиланням сторінки з жертвою.

Аккаунт жертви буде зламаний, як тільки жертва відвідає таку сторінку.

Ця помилка була виявлена користувачем Josip в 2013 році і виправлена командою безпеки «Facebook».

6. Злом будь-яких дій в обліковому записі Facebook

Ця вразливість CSRF дозволяє зловмисникові повністю захопити контроль над обліковим записом користувача. А також дає можливість виконувати анонімно будь-які дії (відзначати сподобалися сторінки, викладати фотографії і відеозаписи і т.д.) в облікового запису жертви «Facebook», що не зламуючи її аккаунт.

Цей недолік існував в кінцевій стадії менеджера оголошень «Facebook».

Приклад облікового запису для запиту CSRF виглядає так:

POST / ads / manage / home /? Show_dialog_uri = / settings / email / add / submit /? New_email = <attacker_email>

Все, що зловмисникові залишилося зробити, так це створити сторінку CSRF з прикріпленою до неї формою в «iframe», яка автоматично буде відправляти POST запит, коли жертва відвідає таку сторінку. Електронна пошта зловмисника буде додана в акаунт жертви анонімно.

Потім зловмисник може зламати обліковий запис «Facebook» жертви, просто змінивши його пароль.

Це вразливість була знайдена користувачем Pouya Darabai в 2015 році і компанія «Facebook» надала йому щедру винагороду в розмірі 15 000 доларів США за програмою бонусів в «Bug Bounty».

7. Зламати будь-яку сторінку Facebook, яка є адміністратором

Цей спосіб злому сторінки в «Facebook» був знайдений користувачем на ім'я Arun в 2016 році і він отримав винагороду в розмірі 16 000 доларів США від «Facebook» за програмою бонусів.

В цьому випадку була вразлива кінцева точка бізнес-менеджера, яка використовується для призначення партнера. Зміна параметра ідентифікатора бізнес-активу партнера на ідентифікатор сторінки дозволило йому зламати будь-яку сторінку «Facebook».

Приклад запиту:

POST / business_share / asset_to_agency /
Host: business.facebook.com

parent_business_id = <business_id> & agency_id = <business_id> & asset_id = <target_page_id>

Параметру «Business ID» повинен бути привласнений бізнес-ідентифікатор зловмисника, а параметр «asset ID» повинен бути замінений цільовим ідентифікатором сторінки «Facebook».

От і все. Тепер цільова сторінка переходить в управління як бізнес-сторінка. Зловмисник може видалити існуючих адміністраторів сторінок, щоб повністю перехопити управління сторінкою «Facebook».

8. Зламати приватні фотографії користувачів Facebook

Ця вразливість для приватних фотографій була знайдена Laxman Muthiyah в 2015 році. Він отримав винагороду від «Facebook» в розмірі 10 000 доларів США в рамках програми «Bug Bounty».

Під приватними фотографіями маються на увазі, в першу чергу, фотографії, що зберігаються у вас на мобільних пристроях і не опубліковані в мережі «Facebook».

Мобільний додаток «Facebook» має вбудовану функцію автоматичної синхронізації фотографій архіву мобільного телефону і «Facebook». Цікаво, що ця функція була включена за замовчуванням на деяких моделях мобільних телефонах.

Ця функція завантажує ваші фотографії з мобільного телефону на сервер «Facebook», але зберігає їх закритими (конфіденційними) до тих пір, поки ви не вирішите опублікувати їх вручну.

Уразливість була знайдена в кінцевій точці при обробці цих приватних фотографій. Будь-яке стороннє додаток могло переглядати або отримувати доступ до приватних фотографій користувача. Щоб така атака спрацювала, стороннє додаток повинен мати доступ до загальнодоступних фотографій користувача, тільки тоді воно може отримати доступ і до закритих фотографій в «Facebook».

Приклад запиту для обмежувати доступ до певних фотографій жертви виглядає так:

GET / me / vaultimages
Host: graph.facebook.com

access_token = <victim_access_token>

Відповідь від кінцевої точки API повинен мати URL-адреси для особистих фотографій жертви.

«Facebook» швидко виправив проблему, вказавши дозволені додатки, які можуть отримувати доступ до кінцевої точки альбому зображень.

9. Зламати будь-які фотографії користувачів Facebook

Arul Kumar знайшов спосіб видалити будь-яку фотографію в «Facebook» в 2013 році, і був винагороджений грошовою премією в розмірі 12 500 доларів США за його зусилля.

У «Facebook» є функція оповіщення власника фотографії, якщо хтось бажає видалити її. Власник фотографії отримує повідомлення і посилання віддаленої фотографії, якій він колись поділився.

Arul виявив, що панель управління фотографіями була правильно перевірена на предмет ідентифікації власника. Це дає можливість зловмиснику замінити параметр ідентифікатора власника своїм власним ідентифікатором облікового запису «Facebook», щоб безпосередньо отримати посилання на видалення фотографій.

Потім зловмисник може видалити фотографію за допомогою отриманої посилання з уразливості. Найгірше те, що жертва не знає, що фотографія була видалена. На даний момент ця уразливість повністю виправлена.

10. Зламати будь-які фотографії або відеозапису користувачів Facebook

Ця вразливість була виявлена Laxman Muthiyah в 2015 році, що дозволило йому прибрати будь-які альбоми в «Facebook». Альбоми з тисячею фотографій і відеороликів можуть бути негайно видалені без будь-якої участі їх власника.

Graph API - це основний спосіб спілкування між сервером «Facebook» і додатками, розробленими своїми або сторонніми розробниками. Вузол кінцевої точки Graph API був вразливий для небезпечної посилання на об'єкт, тому він і дозволив Laxman Muthiyah видати ідентифікатор альбому користувача для запуску процесу видалення.

Приклад запиту на видалення будь-якого фотоальбому «Facebook»:

POST / <album_id>
Host: www.facebook.com

access_token = <top_level_facebook_access_token> & method = delete

Це може видалити альбом, вказаний в параметрі ID. У зловмисника повинно бути дозвіл на перегляд альбому для завершення атаки. «Facebook» виправив цю проблему, зафіксувавши доступ до кінцевої точки тільки привілейованим користувачам, і нагородив грошовою премією Laxman Muthiyah в розмірі 12 500 доларів США за повідомлення про цю уразливість.

11. Зламати будь відеозапису в Facebook

Користувач Pranav виявив уразливість, яка дозволяла йому видаляти будь-які відеозаписи в «Facebook» без будь-яких особливих дозволів.

«Facebook» має можливість додавати відеозаписи до коментарів під будь-якими повідомленнями в «Facebook». Pranav виявив, що можливо додати існуючу відеозапис в коментар, а подальше видалення коментаря дозволить легко видалити вихідну відеозапис.

Таким чином, зловмисник повинен спробувати відредагувати існуючий коментар до повідомлення «Facebook» за допомогою наступного «Graph API» запиту.

Приклад запиту:

POST / <post_id> / comments? Attachment_id = <target_video_id>
Host: graph.facebook.com

Цільова відеозапис буде додана до коментарю. Наразі зловмисник повинен видалити коментар, щоб видалити вихідне відео. Як тільки коментар буде видалений, через кілька секунд буде видалена і відеозапис.