bardóczi ákos @post.r

Nem tudom, hogy ki emlékszik még arra a 2012. őszén napvilágot látott sebezhetőségre, amikor valaki szimplán a felhasználó email-címének ismeretében felül tudta írni az áldozat jelszavát és az új jelszóval be tudott lépni. 

A régi sebezhetőség lényege az volt, hogy ha valaki az elfelejtett jelszóra klikkelt, majd kért egy jelszóhelyreállító tokent emailen, kapott egy 6 számjegyű számot, amit csak meg kellett adni a Facebook jelszóhelyreállító oldalán, majd ha helyes volt a számsor, máris az új jelszót lehetett megadni és azzal belépni. Az „apró” probléma csak az volt, hogy bárki kérhette bárki más nevében a jelszóhelyreállítást, a Facebook semmilyen módon nem korlátozta azt, hogy a helyes számsor ismerete nélkül mennyiszer lehet hibás számsort megadni, azaz valószínűségi alapon átlagosan félmillió, de maximálisan egymillió ismétléses permutáció végigpróbálgatásával [a 000000-999999 tartományban] véletlenül is meg lehetett találni az új jelszó beállításához szükséges számsort, miután valaki egy fiók jelszavának helyreállítását kérte. Márpedig egy fél-egymillió lehetőséget végigpróbálgatni automatizáltan nem olyan nagy manőver. A hibát, a bejelentést követően a Facebook nagyon gyorsan javította. 

Javította, a főoldalon. Viszont a Facebook felületének béta verziójában bennmaradt egészen mostanáig. Anand Prakash indiai kutató véletlenül vette észre, hogy a hiba a bétában és a mobil bétában továbbra is elérhető, a bejelentésért pedig a Facebook ki is csengette neki a bug bounty keretében a 15000 USD-t, ugyan nem lennék meglepve, ha kiderülne, hogy korábban más már a feketepiacon is árulta.  

A mai napon felkerült proof-of-concept videóban látható, ahogyan a Burp suite segítségével egyesével újraküldi a kéréseket a jelszóhelyreállító oldalnak, mire az egy idő után el nem fogadja a brute force, azaz nyers erővel megtalált számsort a béta felület és fel nem ajánlja új jelszó beállítását. Elég erős így majdnem négy év után újra látni ugyanazt a hibát. 

Megszámolni is reménytelen lenne, hogy eddig mennyi levelet kaptam, annak apropóján, hogy mennyiért török FB-fiókot, én meg elvből minden levelemre válaszolok, legfeljebb egy mondatban, már annyira nem vicces. Korábban még vicces volt, főleg az, amikor az illető lobbizott még egy-két kört, amiben arról bizonygatott, hogy igenis igazságos lenne már azt a FB-fiókot feltörni mert az övét is feltörték, mert kell belőle egy bizonyító levél, mert az exe, mert csak úgy, mert a tag egy tetű, mert lehet, hogy megcsalják, mert csúnyán nézett, meg amit csak el lehet képzelni. Szóval az indítékok nem túl változatosak, a legtrükkösebbek komolyan azok voltak, akik úgy adták be, mintha saját magukat csukták volna ki, de nem tudják egyedül helyreállítani a fiókjukat.

Na, akkor most egy kis matek, szerintetek mennyi olvasó tévedt csak idén a blogra csak a Google keresési találatain keresztül, amiben benne volt a facebook feltörés vagy ahhoz nagyon hasonló keresőkifejezés? /*A százalékban kifejezezz értékek nem az összes, hanem csak a facebook kifejezést tartalmazó keresések eloszlását mutatják. */ Oké, akkor segítek:

Ezennel pályázatot hirdetek olyan sablonlevél megfogalmazására, amit azonnal felhasználhatok, alig kell valamit igazítani rajta és mehet is válaszként, a leghülyébb is megérti, hogy NEM BAZDMEG, NEM!!!, ötletes, humoros, ha sértő a címzettre nézve, nem sértőbb a feltétlenül szükségesnél, nem olyan, amire valószínűleg emberünk még egyszer visszakérdez.

Pályázni július 15-éig lehet a blog oldallécében lévő email-címemre küldött mintával, a legjobb pályamű megalkotójának jövök

EGY TÁLCA SÖRREL és egy kurva nagy Tor projectes matricával

amit legnagyobb valószínűséggel Budapesten tudok odaadni.

Pályázni lehet csapatban is, egy pályázó több pályaművet is beküldhet, nem értesítek senkit a levél kézbesítődéséről, de tessék lenyugodni, nálam semmi sem veszi el spambe. Hajrá! /*csak reménykedni tudok benne, hogy nem rántom magam után a Streisand-effektus egy mutációját*/

Ja, életemben először leírom már én is: kérlek oszd meg a posztot, ahol tudod :)

kép innen: interpretermag.com