Reportan una sencilla vulnerabilidad en Facebook (ya corregida) que podría haberse usado para comprometer cualquier cuenta

Hay veces que no es necesario ahondar en un protocolo, hacer un complicado reversing o un tedioso fuzzing para encontrar una vulnerabilidad crítica que afecta a un servicio tan usado como Facebook. Basta con saber buscar y encontrar en el momento oportuno...

Este es el caso de la vulnerabilidad reportada el 22 de febrero por Anand Prakash que fue premiado con 15000$ USD (Facebook la corrigió el 2 de marzo).

Y, ¿en qué consistía? Pues ya sabes que si olvidas una contraseña en Facebook existe la opción de resetearla introduciendo un número de teléfono o dirección de correo electrónico en https://www.facebook.com/login/identify?ctx=recover&lwv=110. Luego Facebook envía un código de 6 dígitos para poder introducir una nueva contraseña. Si realizas un ataque de fuerza bruta sobre www.facebook.com serás bloqueado después de 10-12 intentos, pero parece que Facebook olvidó poner este umbral en beta.facebook.com y mbasic.beta.facebook.com:

POST /recover/as/code/ HTTP/1.1
Host: beta.facebook.com

lsd=AVoywo13&n=XXXXX



Efectivamente, cualquiera que sacara por fuerza bruta el código "n" podía resetear la contraseña de cualquier usuario de Facebook... impresionante.

Fuente: [Responsible disclosure] How I could have hacked all Facebook accounts

0 comentarios :

Publicar un comentario en la entrada