Как хакеры могут взломать вашу учетную запись в Facebook

Читайте о всех возможных способах взломать учётную запись в Facebook. Начиная от методов подбора пароля и фишинга, до более сложных мероприятий. «Как взломать Facebook?» - этот вопрос является одним из самых популярных поисковых запросов в Интернете. Многие из нас плохо представляют, как взломать чью-то учетную запись «Facebook», ведь это очень непростая задача, по крайней мере, для новичков.

Как хакеры могут взломать вашу учетную запись в Facebook

В Интернете есть множество веб-сайтов, где вы можете найти огромное количество инструментов и методов для взлома учетной записи в «Facebook». Но большинство из них являются поддельными, а остальные нуждаются в тщательной технической проверке. Пожалуйста, остерегайтесь инструментов для взлома «Facebook», так как большинство таких инструментов фактически взломают вашу учетную запись вместо аккаунта другого целевого пользователя.

Если хакеры (мошенники) могут взломать учетную запись в «Facebook», это означает, что они нашли уязвимость безопасности учетной записи и имеют инструмент доступа к ней. Они могут продать его на черном рынке и заработать большие деньги. Или воспользоваться им самостоятельно и заработать на продаже информации. В таком случае, зачем мошенникам бесплатно предлагать свой метод онлайн? Почему они должны создавать инструмент, рисковать, тратить время и ресурсы, и выкладывать его в Интернет абсолютно бесплатно? Они ничего не получают взамен, размещая его в Интернете, не так ли?

Таким образом, со сто процентной уверенностью можно утверждать, что бесплатные инструменты взлома, которые вы видите в Интернете, все поддельные. Не тратьте свое драгоценное время на поиск таких инструментов.

Но если все методы взлома «Facebook» нуждаются в проверке, то почему многие люди становятся жертвами взлома их собственной учетной записи?

Есть несколько методов взлома учетной записи, один из таких фишинг (phishing), которые можно легко выполнить, используя ресурсы, доступные в Интернете. Мы уже писали о таких методах ранее в нашей статье «Что такое фишинг, общее представление и примеры».

Продавать способы взлома учетной записи и информацию, полученную в результате такого взлома, на черном рынке или любой третьей стороне - это, безусловно, киберпреступление. Но существует такой способ, которым вы, взламывая «Facebook», можете зарабатывать этично и совершенно легально. Такой способ называется программа «Bug Bounty».

Программа «Bug Bounty» - это программа, где белые хакеры (whitehat hackers – специалисты по компьютерной безопасности, специализирующиеся на тестировании безопасности компьютерных систем) пытаются обнаружить ошибки и уязвимости «Facebook». И согласно ответственной политике раскрытия информации они сообщают о найденных угрозах в службу безопасности «Facebook». Служба безопасности быстро анализирует и исправляет найденные ошибки и уязвимости, а затем вознаграждает хакера за проделанную работу.

Мы рассмотрим виды уязвимостей социальной сети «Facebook», исправленные благодаря программе «Bug Bounty», которые могли бы позволить мошеннику взломать любую учетную запись «Facebook». Обратите внимание, что все перечисленные здесь уязвимости исправлены командой программистов «Facebook» и больше не работают. Но вы получите общее представление о том, как хакеры могут взломать любую учетную запись «Facebook».

Способы

  1. Взломать любую учетную запись «Facebook» с помощью SMS.
  2. Взломать любую учетную запись «Facebook», используя атаки методом подбора пароля.
  3. Взломать любую учетную запись «Facebook», используя атаки методом подбора пароля – 2 вариант.
  4. Взломать любую учетную запись Facebook, используя метод Cross-Site Request Forgery.
  5. Взломать любую учетную запись Facebook, используя CSRF - 2.
  6. Взлом любых действий в учетной записи Facebook.
  7. Взломать любую страницу Facebook, не являясь администратором.
  8. Взломать частные фотографии пользователей Facebook.
  9. Взломать любые фотографии пользователей Facebook.
  10. Взломать любые фотографии или видеозаписи пользователей Facebook.
  11. Взломать любые видеозаписи в Facebook.

1. Взломать любую учетную запись «Facebook» с помощью SMS

Эта уязвимость может позволить пользователю быстро взломать учетную запись «Facebook» за считанные секунды. Все, что вам нужно, это активный номер мобильного телефона. Этот недостаток существовал на последнем этапе подтверждения номера, когда пользователь подтверждает свой номер мобильного телефона.

Воспользоваться этой уязвимостью очень просто. Вы должны отправить сообщение в следующем формате.

«FBOOK to 32665» (для пользователей США)

В ответ вы получите короткий код. Затем выполните запрос на сервер «Facebook», приложив к нему целевой идентификатор пользователя, полученный короткий код и несколько других параметров. Вот и все волшебство.

Пример запроса

Post /ajax/settings/mobile/confirm_phone.php
Host: www.facebook.com

profile_id=<target_user_id>&code=<short_code>&other_boring_parameters

Теперь ваш номер мобильного телефона будет прикреплен к учетной записи пользователя (целевой идентификатор которого вы отправили) после получения ответа от сервера «Facebook». Затем вы можете послать запрос на изменение пароля с помощью номера мобильного телефона и легко взломать текущую целевую учетную запись.

Эта уязвимость была обнаружена компьютерным специалистом по имени Jack в 2013 году. Служба безопасности «Facebook» исправила проблему довольно быстро и вознаградила его премией в размере 20 000 долларов США в рамках своей программы бонусов.

2. Взломать любую учетную запись «Facebook», используя атаки методом подбора пароля

Именно так поступил пользователь Anand в 2016 году. Для взлома учетной записи он использовал метод «грубой силы» - полный перебор всех возможных вариантов решения задачи. За что и был вознагражден службой «Facebook» денежной премией в размере 15 000 долларов США как часть программы «Bug Bounty».

Этот недостаток был обнаружен в конечной точке восстановления пароля к аккаунту в «Facebook». Всякий раз, когда пользователь забывает свой пароль, он может изменить его с помощью этой опции, указав свой номер мобильного телефона или адрес электронной почты.

Шестизначный код будет отправлен пользователю для проверки того, сделан ли запрос собственником аккаунта. Пользователь может затем изменить свой пароль, введя 6-значный код подтверждения.

Практически невозможно перебрать все варианты шестизначного кода и использовать их для подтверждения права доступа к аккаунту, так как сервер «Facebook» предоставляет вам всего от 10 до 12 попыток ввести разные комбинации кода подтверждения. Затем служба безопасности «Facebook» временно заблокирует учетную запись для сброса пароля.

Anand обнаружил, что субдомены «mbasic.facebook.com» и «beta.facebook.com» не смогли пройти проверку методом «грубой силы». Это позволяет перепробовать все возможные варианты шестизначного кода и получить возможность менять учетную запись.

Пример запроса

Post /recover/as/code/
Host: mbasic.facebook.com

n=<6_digit_code>&other_boring_parameters

Попытка перебора всех возможных вариантов параметра (n = 123456) позволяет злоумышленнику установить новый пароль для любого пользователя «Facebook». Это может быть достигнуто любым инструментом для подбора пароля, доступного в Интернете.

Техническая служба компании «Facebook» исправила эту уязвимость, установив ограничение для количества попыток, которые можно выполнить в конечной точке сброса кода.

3. Взломать любую учетную запись «Facebook», используя атаки методом подбора пароля – 2 вариант

Arun обнаружил такую же уязвимость к методу «грубой силы», но уже в другом субдомене «Facebook» (lookaside.facebook.com), за что по программе «Bug Bounty» получил вознаграждение в размере 10 000 долларов США от «Facebook» в 2016 году.

Первоначально служба безопасности «Facebook» отклонила ошибку, объяснив это тем, что они не могут ее воспроизвести. Сообщение об уязвимости было принято только через несколько недель, и исправление ошибки было выполнено, как только служба безопасности «Facebook» смогла воспроизвести проблему.

Пример запроса выглядит следующим образом:

Post /recover/as/code/
Host: lookaside.facebook.com

n=<6_digit_code>&other_boring_parameters

Сценарий атаки точно такой же, как мы описывали в предыдущем методе, и единственным отличием является только доменное имя.

4. Взломать любую учетную запись Facebook, используя метод Cross-Site Request Forgery

Cross-Site Request Forgery (CSRF) - это тип смешанной атаки замещения, который использует аутентификацию и авторизацию пользователя-жертвы при отправке поддельного запроса на вэб-сервер.

Этот метод требует, чтобы пользователь, чей аккаунт планируют взломать, посетил ссылку веб-сайта (в браузере, который пользователь будет использовать для входа в систему «Facebook»), чтобы завершить хакерскую атаку.

Уязвимость CSRF существовала на последнем этапе при требовании адреса электронной почты «Facebook». Когда пользователь запрашивает адрес электронной почты, то проверка со стороны сервера не проводилась, откуда пользователь делает запрос. Таким образом, уязвимость позволяла запрашивать электронное письмо для любой учетной записи «Facebook».

Перед созданием страницы атаки CSRF вам нужно получить URL-адрес требования для изменения адреса электронной почты. Для этого попробуйте изменить свой адрес электронной почты на адрес электронной почты, который уже используется для другой учетной записи «Facebook». Затем вам будет предложено проверить электронное письмо, если оно принадлежит вам.

Всплывающее окно с запросом должно перенаправить вас на URL-адрес, который нам нужен, после нажатия кнопки запроса.

URL должен выглядеть так:

https://www.facebook.com/support/openid/accept_hotmail.php?appdata=%7B%22fbid%22%3A%22&code=<code>

У вас есть URL. Последнее, что осталось сделать, это создать страницу для размещения URL-адреса в «iframe» и отправить ее жертве.

Адрес электронной почты будет прикреплен к учетной записи «Facebook» жертвы, как только он перейдет на страницу. Вот и все. Теперь вы можете взломать учетную запись «Facebook» с помощью опции сброса пароля.

Эта уязвимость захвата учетной записи CSRF была найдена человеком по имени Dan Melamed в 2013 году и была немедленно исправлена специалистами по безопасности «Facebook».

5. Взломать любую учетную запись Facebook, используя CSRF - 2

Эта хакерская техника похожа на предыдущий метод, где жертве также необходимо посетить сайт злоумышленника, чтобы атака сработала.

Эта уязвимость была обнаружена в конечной точке импорта контактов. Когда пользователь разрешает службам «Facebook» получить доступ к своим контактам в «Microsoft Outlook», сервер «Facebook» делает запрос и добавляет их в соответствующую учетную запись «Facebook».

Это можно сделать, выбрав «Найти контакты в Facebook» в учетной записи. Затем вы должны найти следующий запрос, сделанный на сервер Facebook (используйте перехват прокси-сервера)

https://m.facebook.com/contact-importer/login?auth_token=

Тот же запрос может использоваться и для атаки CSRF. Все, что вам нужно сделать, это вставить URL-адрес в «iframe» на странице атаки и поделиться ссылкой страницы с жертвой.

Аккаунт жертвы будет взломан, как только жертва посетит такую страницу.

Эта ошибка была обнаружена пользователем Josip в 2013 году и исправлена командой безопасности «Facebook».

6. Взлом любых действий в учетной записи Facebook

Эта уязвимость CSRF позволяет злоумышленнику полностью захватить контроль над учетной записью пользователя. А также дает возможность выполнять анонимно любые действия (отмечать понравившиеся страницы, выкладывать фотографии и видеозаписи и т.д.) в учетной записи жертвы «Facebook», не взламывая ее аккаунт.

Этот недостаток существовал в конечной стадии менеджера объявлений «Facebook».

Пример учетной записи для запроса CSRF выглядит так:

POST /ads/manage/home/?show_dialog_uri=/settings/email/add/submit/?new_email=<attacker_email>

Все, что злоумышленнику осталось сделать, так это создать страницу CSRF с прикрепленной к ней формой в «iframe», которая автоматически будет отправлять POST запрос, когда жертва посетит такую страницу. Электронная почта злоумышленника будет добавлена в аккаунт жертвы анонимно.

Затем злоумышленник может взломать учетную запись «Facebook» жертвы, просто изменив его пароль.

Это уязвимость была найдена пользователем Pouya Darabai в 2015 году и компания «Facebook» предоставила ему щедрое вознаграждение в размере 15 000 долларов США по программе бонусов в «Bug Bounty».

7. Взломать любую страницу Facebook, не являясь администратором

Этот способ взлома страницы в «Facebook» был найден пользователем по имени Arun в 2016 году и он получил вознаграждение в размере 16 000 долларов США от «Facebook» по программе бонусов.

В этом случае была уязвима конечная точка бизнес-менеджера, используемая для назначения партнера. Изменение параметра идентификатора бизнес-актива партнера на идентификатор страницы позволило ему взломать любую страницу «Facebook».

Пример запроса:

POST /business_share/asset_to_agency/
Host: business.facebook.com

parent_business_id=<business_id>&agency_id=<business_id>&asset_id=<target_page_id>

Параметру «Business ID» должен быть присвоен бизнес-идентификатор злоумышленника, а параметр «asset ID» должен быть заменен целевым идентификатором страницы «Facebook».

Вот и все. Теперь целевая страница переходит в управление как бизнес-страница. Злоумышленник может удалить существующих администраторов страниц, чтобы полностью перехватить управление страницей «Facebook».

8. Взломать частные фотографии пользователей Facebook

Эта уязвимость для частных фотографий была найдена Laxman Muthiyah в 2015 году. Он получил вознаграждение от «Facebook» в размере 10 000 долларов США в рамках программы «Bug Bounty».

Под частными фотографиями подразумеваются, в первую очередь, фотографии, хранящиеся у вас на мобильных устройствах и не опубликованные в сети «Facebook».

Мобильное приложение «Facebook» имеет встроенную функцию автоматической синхронизации фотографий архива мобильного телефона и «Facebook». Интересно, что эта функция была включена по умолчанию на некоторых моделях мобильных телефонах.

Эта функция загружает ваши фотографии с мобильного телефона на сервер «Facebook», но сохраняет их закрытыми (конфиденциальными) до тех пор, пока вы не решите опубликовать их вручную.

Уязвимость была найдена в конечной точке при обработке этих частных фотографий. Любое стороннее приложение могло просматривать или получать доступ к частным фотографиям пользователя. Чтобы такая атака сработала, стороннее приложение должно иметь доступ к общедоступным фотографиям пользователя, только тогда оно может получить доступ и к закрытым фотографиям в «Facebook».

Пример запроса для доступа к приватным фотографиям жертвы выглядит так:

GET /me/vaultimages
Host: graph.facebook.com

access_token=<victim_access_token>

Ответ от конечной точки API должен иметь URL-адреса для личных фотографий жертвы.

«Facebook» быстро исправил проблему, указав разрешенные приложения, которые могут получать доступ к конечной точке альбома изображений.

9. Взломать любые фотографии пользователей Facebook

Arul Kumar нашел способ удалить любую фотографию в «Facebook» в 2013 году, и был вознагражден денежной премией в размере 12 500 долларов США за его усилия.

В «Facebook» есть функция оповещения владельца фотографии, если кто-то желает удалить ее. Владелец фотографии получает уведомление и ссылку удаленной фотографии, которой он когда-то поделился.

Arul обнаружил, что панель управления фотографиями не была правильно проверена на предмет идентификации владельца. Это дает возможность злоумышленнику заменить параметр идентификатора владельца своим собственным идентификатором учетной записи «Facebook», чтобы напрямую получить ссылку на удаление фотографий.

Затем злоумышленник может удалить фотографию с помощью полученной ссылки из уязвимости. Хуже всего то, что жертва не знает, что фотография была удалена. В настоящий момент эта уязвимость полностью исправлена.

10. Взломать любые фотографии или видеозаписи пользователей Facebook

Эта уязвимость была обнаружена Laxman Muthiyah в 2015 году, что позволило ему убрать любые альбомы в «Facebook». Альбомы с тысячью фотографий и видеороликов могут быть немедленно удалены без какого-либо участия их владельца.

Graph API - это основной способ общения между сервером «Facebook» и приложениями, разработанными своими или сторонними разработчиками. Узел конечной точки Graph API был уязвим для небезопасной ссылки на объект, поэтому он и позволил Laxman Muthiyah выдать идентификатор альбома пользователя для запуска процесса удаления.

Пример запроса на удаление любого фотоальбома «Facebook»:

POST /<album_id>
Host: www.facebook.com

access_token=<top_level_facebook_access_token>&method=delete

Это может удалить альбом, указанный в параметре ID. У злоумышленника должно быть разрешение на просмотр альбома для завершения атаки. «Facebook» исправил эту проблему, зафиксировав доступ к конечной точке только привилегированным пользователям, и наградил денежной премией Laxman Muthiyah в размере 12 500 долларов США за сообщение об этой уязвимости.

11. Взломать любые видеозаписи в Facebook

Пользователь Pranav обнаружил уязвимость, которая позволяла ему удалять любые видеозаписи в «Facebook» без каких-либо особых разрешений.

«Facebook» имеет возможность добавлять видеозаписи к комментариям под любыми сообщениями в «Facebook». Pranav обнаружил, что возможно добавить существующую видеозапись в комментарий, а последующее удаление комментария позволит легко удалить исходную видеозапись.

Таким образом, злоумышленник должен попытаться отредактировать существующий комментарий к сообщению «Facebook» с помощью следующего «Graph API» запроса.

Пример запроса:

POST /<post_id>/comments?attachment_id=<target_video_id>
Host: graph.facebook.com

Целевая видеозапись будет добавлена к комментарию. Теперь злоумышленник должен удалить комментарий, чтобы удалить исходное видео. Как только комментарий будет удален, через несколько секунд будет удалена и видеозапись.

Author: Michael Miroshnichenko

1 Star2 Stars3 Stars4 Stars5 Stars (2 votes, average: 5.00 out of 5)