Cum sa castigi $20 mii intr-o zi pe un simplu bug Facebook

Timp de cativa ani puteai schimba parola oricarui utilizator de Facebook, pur si simplu schimband elementul profile_id in forma fbMobileConfirmationForm in timpul autentificarii cu un telefon mobil. Forma respectiva se afla aici.

Specialistul in securitate Jack Whitten pe blogul sau explica bug-ul, care este asociat cu lucrul incorect a scriptului /ajax/settings/mobile/confirm_phone.php pentru a confirma numarul de telefon, care este asociat cu contul de Facebook.

Unul dintre parametrii acceptate – profile_id care indica contul, pentru care este realizata procedura.

Exploitul este foarte simplu. Adaugam telefonul la contul nostru, obtinem codul de confirmare.

facebook-sms-1

Introducem acest cod in formularul de activare si schimbam elementul profile_id, indicand profilul victimei.

fb2

Se poate observa ca valoarea _user (al nostru) difera de profile_id (victima).

fb3

Cu toate acestea backend cu succes a acceptat aceasta cerere – si primim un SMS cu confirmare, desi deja ne-am adaugat la contul altcuiva.

facebook-sms-4

Acum putem sa-i schimbam parola.

fb4

Confirmarea despre schimbarea parolei de asemenea vine pe telefon.

facebook-sms-6-1

Pe data de 28 mai anului 2013 vulnerabilitatea a fost eliminata. Desi nu mai putem utiliza bug-ul, ramane interesant faptul ca acest bug a functionat o lunga perioada de timp. Compania Facebook a platit $20 mii pentru informatia despre aceasta vulnerabilitate.

Ti-a placut acest articol?

Share This Post

Post Comment