“ Wie kann man Facebook hacken?“ ist eine der meistgesuchten Fragen im Internet. Viele von uns wollen unbedingt in jemandes Facebook-Account hacken, aber das ist offensichtlich kein einfacher Job, zumindest für einen Anfänger.

Es gibt Unmengen von Websites im Internet, auf denen Sie eine Vielzahl von Tools und Methoden zum Hacken von Facebook finden können, aber die meisten von ihnen sind gefälscht und der Rest erfordert technisches Fachwissen. Die meisten Tools hacken tatsächlich Ihr Facebook-Konto anstelle des Zielbenutzers.

Wenn jemand in der Lage ist, ein Facebook-Konto zu hacken, bedeutet dies, dass er eine Sicherheitslücke in der Kontoübernahme hat, die FB betrifft. Sie können es illegal für Millionen von Dollar an einen Schwarzmarkt verkaufen. Sie können sofortigen Ruhm und Tausende von Dollar Belohnung erhalten, wenn sie die Sicherheitsanfälligkeit legitim über das Bug Bounty-Programm melden.

Was bekommen sie, wenn sie die Methode auch kostenlos online teilen? Was bekommen sie für die Erstellung eines kostenlosen Tools / einer darauf basierenden Software? Absolut NICHTS.

Die kostenlosen Hacking-Tools, die Sie im Internet sehen, sind also alle gefälscht. Verschwenden Sie nicht Ihre kostbare Zeit mit der Suche nach solchen Hack-Tools.

Wenn alle FB-Hacking-Methoden technisches Fachwissen erfordern, wie kommt es dann, dass eine große Anzahl von Personen ihr Konto gehackt bekommt?

Es gibt einige Methoden wie Phishing, die mit den im Internet verfügbaren Ressourcen problemlos durchgeführt werden können. Sie können mehr über solche Facebook-Hacking-Methoden erfahren.Facebook hat mich mit 10.000 US-Dollar belohnt, weil ich die privaten Fotos der mobilen Facebook-App mit einer Sicherheitslücke gehackt habe.

Lesen Sie auch, warum Facebook mich mit 10.000 US-Dollar belohnt hat.

Ein Dieb benutzt möglicherweise nicht immer Ihre Tür, um nach Hause zu gelangen. Auf die gleiche Weise benötigt ein Hacker möglicherweise nicht immer Ihr Passwort, um Ihr Facebook-Konto zu hacken. Tatsächlich ist ein Passwort meistens nicht erforderlich, damit ein Hacker Ihr Facebook-Konto hacken kann. Klingt komisch? Es sei denn, Sie sind ein Hacker 😉

Hacker sind keine Magier, die Tricks anwenden, um die Show zu erledigen. Sie tun es auf harte Weise. Sie verbringen Tag und Nacht damit, nach einer Sicherheitslücke zu suchen, die Facebook betrifft. Das Hacken eines Kontos ist nicht schwierig, sobald es eine Sicherheitsanfälligkeit aufweist.

Wir werden einige Facebook-Hacking-Techniken behandeln, die im Bug Bounty-Programm entdeckt wurden und die es jedem ermöglicht hätten, sich OHNE PASSWORT in ein beliebiges FB-Konto zu hacken. Bitte beachten Sie, dass alle hier aufgeführten Methoden vom Facebook-Team gepatcht wurden und nicht mehr funktionieren. Sie erhalten jedoch eine grundlegende Vorstellung davon, wie Hacker ein Konto hacken können, ohne das tatsächliche Kennwort zu kennen. Überprüfen Sie den Link in jeder Methode, wenn Sie weitere Details anzeigen möchten.

Hack jedes Facebook-Konto mit einer mobilen SMS

Diese Sicherheitsanfälligkeit kann es einem Benutzer ermöglichen, ein FB-Konto in Sekundenbruchteilen zu hacken. Alles, was Sie brauchen, ist eine aktive Handynummer. Dieser Fehler bestand im Endpunkt confirm mobile number, wo Benutzer ihre Handynummer überprüfen.

Die Ausführung dieser Sicherheitsanfälligkeit ist sehr einfach. Wir sollten eine Nachricht im folgenden Format senden.

FBOOK to 32665 (für die USA)

Sie sollten einen Shortcode erhalten. Dann könnte eine Anfrage an den FB-Server mit der Zielbenutzer-ID, dem Shortcode und einigen anderen Parametern die Magie bewirken.

Beispielanfrage

Post /ajax/Einstellungen/mobile/confirm_phone.php
Gastgeber: www.facebook.com

profile_id=<target_user_id>&code=<short_code>&other_boring_parameters

Das ist es. Das Senden dieser Anfrage an den Facebook-Server mit beliebigen Benutzer-Cookies kann das Zielkonto hacken. Ihre Handynummer wird an das FB-Konto des Zielbenutzers angehängt, sobald Sie eine Antwort vom FB-Server erhalten. Jetzt können Sie eine Anforderung zum Zurücksetzen des Kennworts mithilfe der Handynummer initiieren und sich problemlos in das Zielkonto hacken.

Diese Schwachstelle wurde 2013 von Jack entdeckt. Das FB-Sicherheitsteam hat das Problem ziemlich schnell behoben und belohnte ihn $ 20,000 USD als Teil ihres Kopfgeldprogramms.

Hack jedes Facebook-Konto mit Brute-Force-Angriff

Diese Brute-Force-Sicherheitsanfälligkeit führt zu einer vollständigen Übernahme des FB-Kontos, die von Anand in 2016 gefunden wurde. Facebook belohnte ihn mit 15.000 US-Dollar als Teil seines Bug-Bounty-Programms.

Dieser Fehler wurde am Endpunkt zum Zurücksetzen des Passworts von Facebook gefunden. Wenn ein Benutzer sein Passwort vergisst, kann er sein Passwort mit dieser Option zurücksetzen, indem er seine Telefonnummer oder E-Mail-Adresse eingibt.

Ein 6-stelliger Code wird an den Benutzer gesendet, um zu überprüfen, ob die Anfrage von der betroffenen Person gestellt wird. Der Benutzer kann dann sein Passwort zurücksetzen, indem er den 6-stelligen Bestätigungscode eingibt.

Man kann verschiedene Kombinationen des Codes nicht mehr als 10 bis 12 Versuche ausprobieren, da der FB-Server das Konto vorübergehend für das Zurücksetzen des Kennworts blockiert.

Anand fand, dass mbasic.facebook.com und Beta.Facebook.com konnte die Brute-Force-Validierung nicht durchführen, sodass ein Angreifer alle Möglichkeiten des sechsstelligen Codes ausprobieren konnte.

Beispielanfrage

Post /recover/as/code/
Gastgeber: mbasic.facebook.com

n=<6_digit_code>&other_boring_parameters

Das Ausprobieren aller Möglichkeiten (Brute Forcing) des sechsstelligen Parameters (n=123456) ermöglicht es einem Angreifer, ein neues Passwort für jeden FB-Benutzer festzulegen. Dies kann mit jedem online verfügbaren Brute-Force-Tool erreicht werden.

Facebook hat diese Sicherheitsanfälligkeit behoben, indem die Anzahl der Versuche begrenzt wurde, die auf dem Reset-Code-Endpunkt ausgeführt werden können.

Hacken eines Facebook-Kontos mit Brute-Force-Angriff – 2

Arun hat dieselbe Brute-Force-Sicherheitsanfälligkeit in einer anderen Subdomain gefunden (lookaside.facebook.com von Facebook, die ihm 2016 eine Belohnung von 10.000 US-Dollar von Facebook erhalten hatte.

Anfangs lehnten sie den Fehler ab, indem sie sagten, dass sie ihn nicht reproduzieren könnten. Die Sicherheitsanfälligkeit wurde erst nach einigen Wochen akzeptiert und der Patch wurde ausgerollt, sobald das Sicherheitsteam das Problem reproduzieren konnte.

Und die Beispielanforderung sieht folgendermaßen aus

Post /recover/as/code/
Host: lookaside.facebook.com

n=<6_digit_code>&other_boring_parameters

Das Angriffsszenario ist genau das gleiche, das wir in der vorherigen Methode gesehen haben, und der einzige Unterschied ist der Domänenname.Facebook-Konto mit einem Cross-Site-Request-Forgery-Angriff

Hacken

Bei dieser Methode muss das Opfer einen Website-Link besuchen (in einem Browser, in dem das Opfer bei Facebook angemeldet sein sollte), um den Hacking-Angriff abzuschließen.

Für diejenigen unter Ihnen, die nichts über CSRF-Angriffe wissen, lesen Sie hier darüber.

Der Fehler bestand in der E-Mail-Adresse Endpunkt von Facebook. Wenn ein Benutzer eine E-Mail-Adresse beansprucht, wurde keine serverseitige Validierung durchgeführt, welcher Benutzer die Anfrage stellt, sodass eine E-Mail auf einem beliebigen FB-Konto beansprucht werden kann.

Sie müssen die E-Mail-Anspruchs-URL abrufen, bevor Sie eine CSRF-Angriffsseite erstellen können. Versuchen Sie dazu, Ihre E-Mail-Adresse in eine E-Mail-Adresse zu ändern, die bereits für ein FB-Konto verwendet wird. Dann werden Sie aufgefordert, die E-Mail zu beanspruchen, wenn diese Ihnen gehört.

Ein Popup mit der Anspruchsschaltfläche sollte Sie zu der URL weiterleiten, die wir benötigen, sobald wir auf die Anspruchsschaltfläche klicken.

URL sollte so aussehen

https://www.facebook.com/support/openid/accept_hotmail.php?appdata=%7B%22fbid%22%3A%22&code=<code>

Sie haben die URL. Als letztes müssen wir eine Seite erstellen, um die URL in einen Iframe einzufügen und an das Opfer zu senden.

Die E-Mail-Adresse wird an das Facebook-Konto des Opfers angehängt, sobald er / sie zur URL navigiert. Das war’s. Sie können jetzt das Facebook-Konto des Opfers über die Option Passwort zurücksetzen hacken.

Diese CSRF Account Takeover Schwachstelle wurde 2013 von Dan Melamed gefunden und sofort vom FB Security Team gepatcht.

Hacken Sie ein beliebiges Facebook–Konto mit CSRF – 2

Diese Hacking-Technik ähnelt der vorherigen, bei der das Opfer die Website des Angreifers besuchen muss, damit der Angriff funktioniert.

Diese Sicherheitsanfälligkeit wurde im Contact importer Endpoint gefunden. Wenn Facebook von einem Benutzer den Zugriff auf das Kontaktbuch von Microsoft Outlook genehmigt wird, wird eine Anfrage an den FB-Server gestellt, der die E-Mail wiederum dem jeweiligen Facebook-Konto hinzufügt.

Man kann dies tun, indem Kontakte Option im Angreifer Facebook-Konto suchen. Dann sollten Sie die folgende Anfrage an den FB-Server finden (verwenden Sie einen abfangenden Proxy wie Burp)

https://m.facebook.com/contact-importer/login?auth_token=

Die gleiche GET-Anforderung kann verwendet werden, um den CSRF-Angriff auszuführen. Sie müssen lediglich die URL in einen Iframe auf der Angriffsseite einbetten und den Link mit dem Opfer teilen.

Das Konto des Opfers kann gehackt werden, sobald das Opfer die Angriffsseite besucht.

Dieser Fehler wurde von Josip auf 2013 gefunden und vom FB Security Team gepatcht.

6. Hacking alle Aktionen auf Facebook-Konto – Ein CSRF Bypass

Diese CSRF Verwundbarkeit ermöglicht es dem Angreifer über das Konto vollständig zu nehmen und auch hat es die Fähigkeit, alle Aktionen wie Vorlieben Seite auszuführen, ein Foto veröffentlichen, usw. auf dem Facebook-Konto des Opfers anonym, ohne sich in das Konto einzuhacken.

Dieser Fehler bestand im Ads Manager-Endpunkt. Das Beispielkonto, das die CSRF-Anforderung übernimmt, sieht folgendermaßen aus:

POST /ads/manage/home/?show_dialog_uri=/Einstellungen/E-Mail/hinzufügen/senden /?new_email=<attacker_email>

Der Angreifer muss lediglich eine CSRF-Seite mit einem Formular erstellen, um die Post-Anforderung automatisch in einem Iframe zu senden, wenn das Opfer auf der Seite landet. Die E-Mail-Adresse des Angreifers wird dem Konto des Opfers anonym hinzugefügt.

Dann kann der Angreifer in das Facebook-Konto des Opfers hacken, indem er das Passwort zurücksetzt.

Dies wurde von Pouya Darabai im Jahr 2015 gefunden und erhielt ein Kopfgeld von $15.000 durch Facebook Bug Bounty-Programm.

7. Hack Facebook-Seite ohne admin

Diese Facebook-Seite Hacking-Methode wurde von Arun gefunden in 2016 und hat eine Belohnung von bekam $16,000 USD dafür.

Der Business Manager-Endpunkt, der zum Zuweisen eines Partners verwendet wurde, war in diesem Fall anfällig. Durch Ändern des Parameters Partner Business Asset ID in eine Seiten-ID konnte sich Arun in jede Seite hacken.

Beispielanfrage

POST /business_share/asset_to_agency/
Gastgeber: business.facebook.com

parent_business_id=<business_id>&agency_id=<business_id>&asset_id=<target_page_id>

Der Business ID-Parameter sollte der Business ID des Angreifers zugewiesen werden, und der Asset ID-Parameter sollte durch die Ziel-Facebook-Seiten-ID ersetzt werden.

Das ist es. Jetzt sollte die Zielseite dem Unternehmen gehören. Der Angreifer kann die vorhandenen Seitenadministratoren entfernen, um die Facebook-Seite vollständig zu übernehmen.

8. Hacking Facebook-Nutzer Private Fotos

Diese privaten Fotos Verwundbarkeit wurde von mir gefunden in 2015 und bekam eine Belohnung von $10,000 als Teil ihrer Bounty-Programm.

Was meine ich überhaupt mit privaten Fotos? Die Fotos, die Sie in mobilen und nicht auf Facebook veröffentlicht haben, sind die, die ich meine, wenn ich private Fotos sagen.

Die mobile App verfügt über eine Standardfunktion namens Synchronisieren mobiler Fotos. Interessanterweise war diese Funktion in einigen Mobiltelefonen standardmäßig aktiviert.

Diese Funktion lädt Ihre mobilen Fotos auf den FB-Server hoch, hält sie jedoch privat, bis Sie sie manuell auf Facebook veröffentlichen.

Eine Schwachstelle in einem Endpunkt, der diese privaten Fotos verarbeitet, ermöglicht es jeder Drittanbieter-App, private Fotos von Benutzern anzuzeigen / darauf zuzugreifen. Damit dieser Angriff funktioniert, muss die Drittanbieter-App Zugriff auf die öffentlichen Fotos des Benutzers haben, nur dann kann sie auf die privaten Fotos zugreifen.

Eine Beispielanforderung an die Graph-API für den Zugriff auf die privaten Fotos des Opfers sieht folgendermaßen aus

GET /me/vaultimages
Host: graph.Facebook.com

access_token=<victim_access_token>

Das war’s. Die Antwort vom API-Endpunkt sollte die URLs zu privaten Fotos des Opfers enthalten.

Facebook hat das Problem behoben, indem die Apps, die auf den Vaultimages-Endpunkt zugreifen können, auf die Whitelist gesetzt wurden.

9. Facebook-Nutzerfotos hacken

Arul Kumar fand 2013 einen Weg, jedes Foto auf Facebook zu löschen, und belohnte ihn mit 12.500 US-Dollar für seine Bemühungen.

Facebook hat eine Funktion, um dem Besitzer ein Foto zu melden, wenn jemand das Foto entfernen möchte. Der Besitzer des Fotos erhält eine Benachrichtigung und einen Link, um das Foto zu löschen, sobald es von jemandem gemeldet wurde.

Arul stellte fest, dass die Fotoberichterstattungsfunktion des Support-Dashboards die Eigentümer-IDs nicht ordnungsgemäß validierte, sodass er den Parameter Eigentümer-ID durch seine eigene Facebook-Konto-ID ersetzen konnte, um den Link zum Löschen von Fotos direkt abzurufen.

Dann kann der Angreifer das Foto mit Hilfe eines Links aus dem Exploit löschen. Das Schlimmste an diesem Angriff ist, dass das Opfer nicht weiß, dass das Foto gelöscht wurde. Diese Sicherheitsanfälligkeit ist nun vollständig behoben.

10. Facebook-Nutzer Foto / Video-Alben hacken

Diese Sicherheitsanfälligkeit wurde von mir im Jahr 2015 gefunden, die mir erlaubt, alle Alben auf Facebook zu nehmen. Alben mit Tausenden von Fotos und Videos können sofort ohne Interaktion des Besitzers gelöscht werden.

Graph API ist die primäre Art der Kommunikation zwischen dem Server und nativen / Drittanbieter-Apps. Der Albumknoten des Graph API-Endpunkts war anfällig für unsichere Objektreferenzen, sodass ich die Album-ID eines Benutzers ausgeben konnte, um das Löschen zu verarbeiten.

Eine Beispielanfrage zum Löschen eines Facebook-Fotoalbums

POST /<album_id>
Gastgeber: www.facebook.com

access_token=<top_level_facebook_access_token>&method=delete

Dies könnte das im ID-Parameter angegebene Album löschen. Der Angreifer sollte die Berechtigung zum Anzeigen des Albums haben, um den Angriff abzuschließen. Facebook hat dieses Problem behoben, indem der Endpunkt so festgelegt wurde, dass nur Benutzer mit Berechtigungen zugelassen werden, und mich mit 12,500 USD für die Meldung der Sicherheitsanfälligkeit belohnt.

11. Facebook-Videos hacken

Pranav hat eine Sicherheitslücke gefunden, durch die er Facebook-Videos ohne Concent-Berechtigungen löschen konnte.

Facebook hat die Möglichkeit, Videos zu Kommentaren zu jedem Beitrag hinzuzufügen. Pranav stellte fest, dass das Anhängen vorhandener Videos an einen Kommentar möglich ist und das Löschen des Kommentars das Quellvideo problemlos löschen kann.

Der Angreifer sollte also versuchen, einen vorhandenen Kommentar zu einem Beitrag mit der Facebook-Video-ID der Person über die folgende Graph-API-Anforderung zu bearbeiten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.