«Cómo Hackear Facebook?»es una de las preguntas más buscadas en Internet. Muchos de nosotros tenemos muchas ganas de hackear la cuenta de Facebook de alguien, pero obviamente no es un trabajo fácil, al menos para un novato.
Hay toneladas de sitios web en Internet donde puedes encontrar una variedad de herramientas y métodos para hackear Facebook, pero la mayoría de ellos son falsos y el resto necesita experiencia técnica. Por favor, tenga cuidado con las herramientas de hacking, la mayoría de las herramientas realmente hackean su cuenta de Facebook en lugar del usuario objetivo.
Si alguien puede hackear una cuenta de Facebook, significa que tiene una vulnerabilidad de seguridad de adquisición de cuentas que afecta a FB. Pueden venderlo a un mercado negro ilegalmente por millones de dólares. Pueden obtener fama instantánea y miles de dólares en recompensas si informan de la vulnerabilidad legítimamente a través del programa de recompensas de errores.
¿Qué obtienen al compartir el método en línea, también de forma gratuita? ¿Qué obtienen por crear una herramienta / software gratuito basado en ella? Absolutamente NADA.
Así que las herramientas de hacking gratuitas que ves en Internet son todas falsas. No pierda su valioso tiempo buscando tales herramientas de hackeo.
Si todos los métodos de hacking FB necesitan experiencia técnica, ¿cómo es que un gran número de personas obtienen su cuenta hackeada?
Hay algunos métodos, como el phishing, que se pueden realizar fácilmente utilizando los recursos disponibles en Internet. Puedes aprender más sobre estos métodos de hackeo de Facebook.Facebook me recompensó con 10.000 USD por hackear fotos privadas de la aplicación móvil de Facebook usando una vulnerabilidad de seguridad.
Es posible que un ladrón no siempre use la puerta de tu casa para entrar. De la misma manera, un hacker puede no necesitar tu contraseña en todo momento para hackear tu cuenta de Facebook. En realidad, la mayoría de las veces no es necesaria una contraseña para que un hacker hackee tu cuenta de Facebook. Suena raro? Lo haría a menos que sea un hacker
Los hackers no son magos para usar trucos para terminar el espectáculo. Lo hacen de una manera difícil. Pasan día y noche investigando para encontrar una vulnerabilidad de seguridad que afecte a Facebook. Hackear una cuenta no es difícil una vez que tienen una vulnerabilidad.
Vamos a cubrir algunas técnicas de hackeo de Facebook descubiertas en el programa de recompensas de errores que podrían haber permitido a cualquiera hackear cualquier cuenta de FB SIN CONTRASEÑA. Ten en cuenta que todos los métodos que se enumeran aquí están parcheados por el equipo de Facebook y ya no funcionan. Pero obtendrá una idea básica de cómo los hackers podrían hackear una cuenta sin conocer la contraseña real. Compruebe el enlace colocado en cada método si desea ver más detalles.
Hackear cualquier cuenta de Facebook con un SMS móvil
Esta vulnerabilidad podría permitir a un usuario hackear la cuenta de FB fácilmente en una fracción de segundos. Todo lo que necesitas es un número de móvil activo. Este defecto existía en el punto final confirmar número móvil, donde los usuarios verifican su número móvil.
La ejecución de esta vulnerabilidad es muy simple. Debemos enviar un mensaje en el siguiente formato.
FBOOK a 32665 (para EE. UU.)
Debería recibir un código corto. Luego, una solicitud al servidor FB con el ID de usuario objetivo, el código corto y algunos otros parámetros podría hacer la magia.
Solicitud de muestra
Post / ajax/settings/mobile / confirm_phone.php
Host: www.facebook.com
profile_id=<target_user_id>&code=<short_code>&other_boring_parameters
Eso es todo. Enviar esta solicitud al servidor de Facebook con cualquier cookie de usuario puede hackear la cuenta de destino. Su número de teléfono móvil se adjuntará a la cuenta de FB del usuario objetivo una vez que reciba una respuesta del servidor de FB. Ahora puede iniciar una solicitud de restablecimiento de contraseña con el número de teléfono móvil y acceder fácilmente a la cuenta de destino.
Esta vulnerabilidad fue encontrada por Jack en 2013. El equipo de seguridad de FB parcheó el problema bastante rápido y lo recompensó con 2 20,000 USD como parte de su programa de recompensas.
Hackear cualquier cuenta de Facebook usando Ataque de Fuerza Bruta
Esta vulnerabilidad de fuerza bruta conduce a la adquisición completa de la cuenta FB que Anand encontró en 2016. Facebook le recompensó con 1 15,000 como parte de su programa de recompensas por errores.
Este defecto se encuentra en el punto final de restablecimiento de contraseña de Facebook. Cada vez que un usuario olvida su contraseña, puede restablecer su contraseña utilizando esta opción ingresando su número de teléfono o dirección de correo electrónico.
Se enviará un código de 6 dígitos al usuario para verificar si la solicitud es realizada por la persona interesada. El usuario puede restablecer su contraseña ingresando el código de verificación de 6 dígitos.
No se pueden probar diferentes combinaciones del código más de 10 a 12 intentos, ya que el servidor FB bloqueará la cuenta para restablecer la contraseña temporalmente.
Anand encontró que mbasic.facebook.com y beta.Facebook.com no pudo realizar la validación de fuerza bruta, lo que permitió a un atacante probar todas las posibilidades del código de seis dígitos.
Solicitud de muestra
Post / recover / as / code /
Host: mbasic.facebook.com
n = < 6_digit_code> & other_boring_parameters
Probar todas las posibilidades (fuerza bruta) del parámetro de seis dígitos (n=123456) permite a un atacante establecer una nueva contraseña para cualquier usuario de FB. Esto se puede lograr con cualquier herramienta de fuerza bruta disponible en línea.
Facebook solucionó esta vulnerabilidad poniendo límites al número de intentos que se pueden ejecutar en el punto final del código de restablecimiento.
Hackear cualquier cuenta de Facebook usando Ataque de Fuerza Bruta-2
Arun encontró la misma vulnerabilidad de fuerza bruta en otro subdominio (lookaside.facebook.com de Facebook que le había dado una recompensa de Facebook 10,000 de Facebook en 2016.
Inicialmente, rechazaron el error diciendo que no podían reproducirlo. La vulnerabilidad se aceptó solo después de unas semanas y el parche se implementó tan pronto como su equipo de seguridad pudo reproducir el problema.
Y la solicitud de ejemplo se ve así
Post / recover / as / code /
Host: lookaside.facebook.com
n = < 6_digit_code> & other_boring_parameters
El escenario de ataque es exactamente el mismo que hemos visto en el método anterior y la única diferencia es el nombre de dominio.Facebook Hackear cualquier cuenta de Facebook usando un Ataque de Falsificación de Solicitud de Sitios cruzados
Este método requiere que la víctima visite un enlace a un sitio web (en un navegador donde la víctima debe iniciar sesión en Facebook) para completar el ataque de hacking.
Para aquellos de ustedes que no conocen los ataques de CSRF, léanlo aquí.
El defecto existía en la reclamación de endpoint de dirección de correo electrónico de Facebook. Cuando un usuario reclama una dirección de correo electrónico, no se realizó una validación del lado del servidor de qué usuario está haciendo la solicitud, por lo que permite que se reclame un correo electrónico en cualquier cuenta de FB.
Necesita obtener la URL de notificación de correo electrónico antes de crear una página de ataque CSRF. Para ello, intente cambiar su dirección de correo electrónico a una dirección de correo electrónico que ya esté utilizada para una cuenta de FB. Luego, se le pedirá que reclame el correo electrónico si le pertenece.
Una ventana emergente con botón de reclamación debería redirigirte a la URL que necesitamos una vez que hagamos clic en el botón de reclamación.
dirección URL debe verse como
https://www.facebook.com/support/openid/accept_hotmail.php?appdata=%7B%22fbid%22%3A%22&code=<code>
tienes la URL. Lo último que tenemos que hacer es crear una página para poner la URL en un iframe y enviarla a la víctima.
La dirección de correo electrónico se adjuntará a la cuenta de Facebook de la víctima una vez que navegue a la URL. Eso es. Ahora puede hackear la cuenta de Facebook de la víctima a través de la opción restablecer contraseña.
Esta vulnerabilidad de adquisición de cuentas CSRF fue encontrada por Dan Melamed en 2013 y fue parcheada inmediatamente por el equipo de seguridad de FB.
Hackear cualquier cuenta de Facebook utilizando CSRF-2
Esta técnica de hackeo es similar a la anterior, en la que la víctima necesita visitar el sitio web del atacante para que el ataque funcione.
Esta vulnerabilidad se encontró en el punto final del importador de contactos. Cuando Facebook es aprobado por un usuario para acceder a la libreta de contactos de Microsoft Outlook, se realiza una solicitud al servidor FB que, a su vez, agrega el correo electrónico a la cuenta de Facebook respectiva.
Se puede hacer esto mediante la opción Buscar contactos en la cuenta de Facebook del atacante. A continuación, debe encontrar la siguiente solicitud hecha al servidor FB (use proxy de interceptación como burp)
https://m.facebook.com/contact-importer/login?auth_token=
La misma solicitud GET se puede utilizar para realizar el ataque CSRF. Todo lo que tienes que hacer es incrustar la URL en un iframe en la página de ataque y compartir el enlace con la víctima.
La cuenta de la víctima puede ser hackeada tan pronto como la víctima visite la página de ataque.
Este error fue encontrado por Josip en 2013 y parcheado por el equipo de seguridad de FB.
6. Hackear cualquier acción en la cuenta de Facebook: Un Bypass de CSRF
Esta vulnerabilidad de CSRF permite al atacante hacerse cargo de la cuenta por completo y también tiene la capacidad de realizar cualquier acción como página de me gusta, publicar una foto, etc. en la cuenta de Facebook de la víctima de forma anónima sin hackear la cuenta.
Este defecto existía en el punto final del administrador de anuncios. La solicitud CSRF de toma de cuenta de ejemplo se ve así
¿PUBLICAR /publicitar/administrar/inicio/?show_dialog_uri = / configuración / correo electrónico/agregar/enviar/?new_email = < attacker_email>
Todo lo que tiene que hacer el atacante es crear una página CSRF con un formulario para enviar automáticamente la solicitud post en un iframe cuando la víctima aterrice en la página. El correo electrónico del atacante se agregará a la cuenta de la víctima de forma anónima.
Entonces el atacante puede hackear la cuenta de Facebook de la víctima restableciendo la contraseña.
Esto fue encontrado por Pouya Darabai en 2015 y obtuvo una recompensa de $15,000 a través del programa de recompensas de errores de Facebook.
7. Facebook Hackear cualquier página sin ser administrador
Este método de hackeo de página de Facebook fue encontrado por Arun en 2016 y tiene una recompensa de 1 16,000 USD por él.
El punto final de Business manager utilizado para asignar un socio era vulnerable en este caso. Cambiar el parámetro ID de activo de negocio del socio a un ID de página permitió a Arun piratear cualquier página.
Solicitud de muestra
POST /business_share/asset_to_agency/
Host: business.facebook.com
parent_business_id=<business_id>&agency_id=<business_id>&asset_id=<target_page_id>
El parámetro ID de negocio debe asignarse al ID de negocio del atacante y el parámetro ID de activo debe reemplazarse por el ID de página de Facebook de destino.
Eso es todo. Ahora la página de destino debería ser propiedad de la empresa. El atacante puede eliminar a los administradores de la página existentes para hacerse cargo por completo de la página de Facebook.
8. Hackear Fotos privadas de usuarios de Facebook
Esta vulnerabilidad de fotos privadas fue encontrada por mí en 2015 y obtuvo una recompensa de $10,000 como parte de su programa de recompensas.
¿Qué quiero decir con Fotos privadas en primer lugar? Las fotos que tienes en el móvil y no publicadas en Facebook son las que me refiero cuando digo fotos privadas.
La aplicación móvil tiene una función predeterminada llamada sincronización de fotos móviles. Curiosamente, esta función estaba activada de forma predeterminada en algunos teléfonos móviles.
Esta función carga tus fotos móviles al servidor FB, pero las mantiene privadas hasta que las publiques manualmente en Facebook.
Una vulnerabilidad en un punto final que maneja estas fotos privadas permite que cualquier aplicación de terceros vea / acceda a las fotos privadas del usuario. Para que este ataque funcione, la aplicación de terceros debe tener acceso a las fotos públicas del usuario, solo entonces puede acceder a las fotos privadas.
La solicitud de muestra a la API de Graph para acceder a las fotos privadas de la víctima se ve así
GET /me/vaultimages
Host: graph.Facebook.com
access_token=<victim_access_token>
Eso es todo. La respuesta del punto final de la API debe tener las direcciones URL de las fotos privadas de la víctima.
Facebook parcheó el problema al incluir en la lista blanca las aplicaciones que pueden acceder al punto final de vaultimages.
9. Facebook Hackear las Fotos de cualquier usuario
Arul Kumar encontró una manera de eliminar cualquier foto en Facebook en 2013 y le recompensaron con 12.500 dólares por sus esfuerzos.
Facebook tiene una función para informar de la foto al propietario si alguien desea que la eliminen. El propietario de la foto recibe una notificación y un enlace para eliminar la foto una vez reportada por alguien.
Arul descubrió que la función de informes de fotos del panel de control de soporte no validaba correctamente los ID de propietario, por lo que le permitía reemplazar el parámetro de ID de propietario con su propio ID de cuenta de Facebook para obtener el enlace de eliminación de fotos directamente.
Entonces el atacante puede eliminar la foto con la ayuda del enlace obtenido del exploit. La peor parte de este ataque es que la víctima no sabrá que la foto fue borrada. Esta vulnerabilidad está completamente arreglada ahora.
10. Facebook Hackear álbumes de fotos/videos de cualquier usuario
Esta vulnerabilidad fue encontrada por mí en 2015 que me permitió eliminar cualquier álbum en Facebook. Los álbumes con miles de fotos y videos se pueden eliminar instantáneamente sin la interacción de su propietario.
La API de gráficos es la principal forma de comunicación entre el servidor y las aplicaciones nativas o de terceros. El nodo Álbumes del punto final de la API de gráficos era vulnerable a la referencia de objetos insegura, por lo que me permitía emitir el ID de álbum de cualquier usuario para procesar la eliminación.
Una solicitud de ejemplo para eliminar cualquier álbum de fotos de Facebook
POST / < album_id>
Host: www.facebook.com
access_token=<top_level_facebook_access_token>& method=delete
Esto podría eliminar el álbum especificado en el parámetro ID. El atacante debe tener permiso para ver el álbum para completar el ataque. Facebook parcheó este problema arreglando el punto final para permitir que solo los usuarios con privilegios y me recompensó con 1 12,500 USD por informar de la vulnerabilidad.
11. Hackear cualquier Facebook videos
Pranav encontrado una vulnerabilidad que le permitió eliminar cualquier Facebook videos sin concent permisos.
Facebook tiene una opción para agregar videos a los comentarios en cualquier publicación. Pranav descubrió que es posible adjuntar videos existentes a un comentario y eliminar el comentario podría permitirnos eliminar el video fuente fácilmente.
Por lo tanto, el atacante debe intentar editar un comentario existente en una publicación con el ID de video de Facebook de alguien a través de la siguiente solicitud de API de gráficos.