Jeg fandt ud af en måde at hacke nogen af ​​Facebooks 2 milliarder konti på, og de betalte mig en $ 15.000 dusør ...

Jeg offentliggør dette med tilladelse fra Facebook under den ansvarlige oplysningspolitik. De har løst denne sårbarhed.

Dette indlæg handler om en simpel sårbarhed, jeg opdagede på Facebook, som jeg kunne have brugt til at hacke ind på andre brugeres Facebook-konti let og uden brugerinteraktion.

Dette gav mig fuld adgang til andre brugerkontoer ved at indstille en ny adgangskode. Jeg var i stand til at se meddelelser, deres kredit- / betalingskort gemt under deres betalingsafdeling, personlige fotos og andre private oplysninger.

Facebook anerkendte problemet med det samme, fikset det og belønnede mig med en bounty på 15.000 $ baseret på sværhedsgraden og virkningen af ​​denne sårbarhed.

Hvordan hacket fungerede

Hver gang en bruger glemmer deres adgangskode på Facebook, har de en mulighed for at nulstille adgangskoden ved at indtaste deres telefonnummer og e-mail-adresse på //www.facebook.com/login/identify?ctx=recover&lwv=110.

Facebook sender derefter en 6-cifret kode til dette telefonnummer eller e-mail-adresse, som brugeren skal indtaste for at indstille en ny adgangskode.

Jeg forsøgte at tvinge den 6-cifrede kode på www.facebook.com og blev blokeret efter 10-12 ugyldige forsøg.

Så kiggede jeg på det samme nummer på beta.facebook.com og mbasic.beta.facebook.com. Interessant nok manglede hastighedsbegrænsning fra glemt kodeord slutpunkt.

Jeg forsøgte at overtage min egen konto (i henhold til Facebooks politik skal du ikke skade andre brugeres konti) og lykkedes med at indstille en ny adgangskode til min konto. Jeg kunne derefter bruge den samme adgangskode til at logge ind på min egen hackede konto.

Et bevis på konceptvideo af hacket

Som du kan se i videoen, var jeg i stand til at indstille en ny adgangskode til brugeren ved at tvinge den kode, der blev sendt til deres e-mail-adresse og telefonnummer.

Sårbar anmodning

POST /recover/as/code/ HTTP/1.1

Host: beta.facebook.com

lsd=AVoywo13&n=XXXXX

Brute, der tvang “n”, fik mig med succes til at indstille ny adgangskode til enhver Facebook-bruger.

Offentliggørelsestidslinje

22. februar 2016: Rapport sendt til Facebook-teamet.

23. februar 2016: Bekræftet løsningen fra min ende.

2. marts 2016: Bounty på $ 15.000 tildelt af Facebook