Hacker revela cómo hackear cualquier cuenta de Facebook con unos cuantos clics.
Hackear una cuenta de Facebook es una de las principales consultas por los usuarios en la Internet hoy en día. Es difícil de encontrar – como hackear una cuenta de Facebook, pero un hacker de la india hizo esto posible.
Un investigador de seguridad descubrió una vulnerabilidad simple «en la red social que le permitió piratear fácilmente cualquier cuenta de Facebook, ver conversaciones, mensajes, publicar cualquier cosa, ver los detalles de pagos de la tarjeta de crédito y hacer todo lo que puede hacer el dueño de la cuenta.
El usuario de Facebook Anand Prakash de la India descubrió una vulnerabilidad de restablecimiento de contraseña, una simple vulnerabilidad que podría haber llegado a un atacante sinfín con oportunidades de usar la fuerza bruta con un código de 6 dígitos y restablecer la contraseña de cualquier cuenta.
He aquí cómo funciona la falla en hackear Facebook:
La vulnerabilidad reside realmente en el camino de los dominios beta de Facebook, y que consiste en las solicitudes de » He olvidado la contraseña.
Facebook permite que los usuarios cambien su contraseña en la cuenta a través del procedimiento de restablecimiento de contraseña mediante la confirmación de su cuenta en Facebook con un código de 6 dígitos recibidos a través de su correo electrónico o mensaje de texto.
Para garantizar la genuinidad del usuario, Facebook permite al titular de la cuenta en tratar hasta una docena de códigos antes de que el código de confirmación de la cuenta sea bloqueado debido a la protección de la fuerza bruta que limita un gran número de intentos.
Sin embargo, Prakash descubrió que el gigante de las redes sociales no había puesto en práctica el límite de la velocidad en su proceso de restablecer una contraseña en los sitios beta, beta.facebook.com y mbasic.beta.facebook.com, de acuerdo con una entrada en el blog de Prakash.
Prakash trató la fuerza bruta del código de 6 dígitos en las páginas de Facebook beta vía el proceso «Olvidé la contraseña» y descubrió que no hay un límite establecido por Facebook en el número de intentos en sus páginas beta.
Demostración de vídeo de como hackear Facebook:
Prakash ha facilitado un (POC), una demostración en video como prueba del concepto que muestra el ataque y como trabaja.
Esta es la falla:
Como lo explicó Prakash, la solicitud POST es vulnerable en las páginas beta de Facebook, miren el código debajo:
lsd = AVoywo13 y n = XXXXX
La fuerza bruta ‘n’ permitió con éxito que Prakash haga un ataque que podría ser usado en cualquier cuenta de Facebook mediante el establecimiento de una nueva contraseña, y así tomar el control completo de cualquier cuenta.
Prakash (@sehacure), descubrió la vulnerabilidad en febrero y lo reportó a Facebook el 22 de febrero.
La red social ha resolvió el problema al día siguiente y le habría pagado unos $ 15,000 dólares a Prakash en concepto de recompensa por descubrir esta falla y el impacto de la vulnerabilidad.
Facebook account takeover vulnerability from Anand Prakash on Vimeo.
