» Comment pirater Facebook? »est l’une des questions les plus recherchées sur Internet. Beaucoup d’entre nous veulent vraiment pirater le compte Facebook de quelqu’un, mais ce n’est évidemment pas un travail facile, du moins pour un novice.
Il existe des tonnes de sites Web sur Internet où vous pouvez trouver une variété d’outils et de méthodes de piratage de Facebook, mais la plupart d’entre eux sont faux et les autres ont besoin d’une expertise technique. Méfiez-vous des outils de piratage, la plupart des outils piratent votre compte Facebook au lieu de l’utilisateur cible.
Si quelqu’un est capable de pirater un compte Facebook, cela signifie qu’il a une vulnérabilité de sécurité de reprise de compte affectant FB. Ils peuvent le vendre illégalement à un marché noir pour des millions de dollars. Ils peuvent obtenir une renommée instantanée et des milliers de dollars de récompense s’ils signalent la vulnérabilité de manière légitime via le programme bug bounty.
Qu’obtiennent-ils en partageant la méthode en ligne, cela aussi gratuitement? Qu’obtiennent-ils pour créer un outil / logiciel gratuit basé sur celui-ci? Absolument RIEN.
Ainsi, les outils de piratage gratuits que vous voyez sur Internet sont tous faux. Ne perdez pas votre temps précieux à chercher de tels outils de piratage.
Si toutes les méthodes de piratage FB nécessitent une expertise technique, alors comment se fait-il qu’un grand nombre de personnes se fassent pirater leur compte?
Il existe certaines méthodes comme le phishing qui peuvent être facilement effectuées en utilisant les ressources disponibles sur Internet. Vous pouvez en apprendre davantage sur ces méthodes de piratage de Facebook.Facebook m’a récompensé de 10 000 USD US pour avoir piraté les photos privées de l’application mobile Facebook à l’aide d’une faille de sécurité.
Un voleur peut ne pas toujours utiliser votre porte pour entrer chez lui. De la même manière, un pirate informatique peut ne pas avoir besoin de votre mot de passe à tout moment pour pirater votre compte Facebook. En fait, la plupart du temps, un mot de passe n’est pas nécessaire pour qu’un pirate informatique pirate votre compte Facebook. Ça a l’air bizarre? Il serait à moins que vous soyez un pirate informatique
Les pirates ne sont pas des magiciens pour utiliser des astuces pour faire le spectacle. Ils le font de manière difficile. Ils passent jour et nuit à rechercher une faille de sécurité affectant Facebook. Pirater un compte n’est pas difficile une fois qu’ils ont une vulnérabilité.
Nous allons couvrir certaines techniques de piratage Facebook découvertes sur le programme bug bounty qui auraient pu permettre à quiconque de pirater n’importe quel compte FB SANS MOT DE PASSE. Veuillez noter que toutes les méthodes répertoriées ici sont corrigées par l’équipe Facebook et cela ne fonctionne plus. Mais vous aurez une idée de base de la façon dont les pirates pourraient pirater un compte sans connaître le mot de passe réel. Vérifiez le lien placé dans chaque méthode si vous souhaitez afficher plus de détails.
Pirater n’importe quel compte Facebook avec un SMS mobile
Cette vulnérabilité pourrait permettre à un utilisateur de pirater facilement un compte FB en une fraction de secondes. Tout ce dont vous avez besoin est un numéro de mobile actif. Cette faille existait dans le point de terminaison confirmer le numéro de téléphone mobile où les utilisateurs vérifient leur numéro de téléphone mobile.
L’exécution de cette vulnérabilité est très simple. Nous devrions envoyer un message dans le format suivant.
FBOOK to 32665 (pour les États-Unis)
Vous devriez recevoir un shortcode. Ensuite, une demande au serveur FB avec l’ID utilisateur cible, le shortcode et quelques autres paramètres pourrait faire la magie.
Exemple de demande
Post/ajax/settings/mobile/confirm_phone.hôte php
: www.facebook.com
profile_id=<target_user_id>&code=<short_code>&other_boring_parameters
C’est tout. L’envoi de cette demande au serveur Facebook avec des cookies d’utilisateur peut pirater le compte cible. Votre numéro de mobile sera attaché au compte FB de l’utilisateur cible une fois que vous aurez reçu une réponse du serveur FB. Vous pouvez maintenant lancer une demande de réinitialisation de mot de passe à l’aide du numéro de mobile et pirater facilement le compte cible.
Cette vulnérabilité a été trouvée par Jack en 2013. L’équipe de sécurité de FB a corrigé le problème assez rapidement et l’a récompensé de 20 000 USD dans le cadre de son programme de primes.
Pirater n’importe quel compte Facebook en utilisant une attaque par Force brute
Cette vulnérabilité par force brute conduit à une prise de contrôle complète du compte FB qui a été trouvée par Anand en 2016. Facebook l’a récompensé de 15 000 $ dans le cadre de son programme bug bounty.
Cette faille a été trouvée sur le point de terminaison de réinitialisation du mot de passe de Facebook. Chaque fois qu’un utilisateur oublie son mot de passe, il peut réinitialiser son mot de passe en utilisant cette option en entrant son numéro de téléphone ou son adresse e-mail.
Un code à 6 chiffres sera envoyé à l’utilisateur pour vérifier si la demande est faite par la personne concernée. L’utilisateur peut ensuite réinitialiser son mot de passe en entrant le code de vérification à 6 chiffres.
On ne peut pas essayer différentes combinaisons du code plus de 10 à 12 tentatives car le serveur FB bloquera temporairement le compte pour la réinitialisation du mot de passe.
Anand a constaté que mbasic.facebook.com et bêta.Facebook.com n’a pas réussi à effectuer la validation par force brute, permettant ainsi à un attaquant d’essayer toutes les possibilités du code à six chiffres.
Exemple de demande
Post/recover/as/code/
Hôte: mbasic.facebook.com
n = < 6_digit_code > & other_boring_parameters
Essayer toutes les possibilités (force brute) du paramètre à six chiffres (n = 123456) permet à un attaquant de définir un nouveau mot de passe pour n’importe quel utilisateur FB. Cela peut être réalisé par n’importe quel outil de force brute disponible en ligne.
Facebook a corrigé cette vulnérabilité en limitant le nombre de tentatives que l’on peut exécuter sur le point de terminaison du code de réinitialisation.
Piratage de tout compte Facebook à l’aide d’une attaque par Force Brute – 2
Arun a trouvé la même vulnérabilité par force brute dans un autre sous-domaine (lookaside.facebook.com de Facebook qui lui avait valu une récompense de 10 000 Facebook de Facebook en 2016.
Initialement, ils ont rejeté le bogue en disant qu’ils étaient incapables de le reproduire. La vulnérabilité n’a été acceptée qu’après quelques semaines et le correctif a été déployé dès que leur équipe de sécurité a pu reproduire le problème.
Et l’exemple de demande ressemble à ceci
Post/recover/as/code/
Hôte: lookaside.facebook.com
n = < 6_digit_code > & other_boring_parameters
Le scénario d’attaque est exactement le même que celui que nous avons vu dans la méthode précédente et la seule différence est le nom de domaine.Facebook Pirater un compte Facebook à l’aide d’une attaque de falsification de requête Intersite
Cette méthode nécessite que la victime visite un lien de site Web (dans un navigateur où la victime doit être connectée à Facebook) pour terminer l’attaque de piratage.
Pour ceux d’entre vous qui ne connaissent pas les attaques CSRF, lisez à ce sujet ici.
La faille existait dans la revendication du point de terminaison d’adresse e-mail de Facebook. Lorsqu’un utilisateur revendique une adresse e-mail, aucune validation côté serveur n’a été effectuée pour savoir quel utilisateur fait la demande, ce qui permet de réclamer un e-mail sur n’importe quel compte FB.
Vous devez obtenir l’URL de réclamation par e-mail avant de créer une page d’attaque CSRF. Pour cela, essayez de changer votre adresse e-mail en une adresse e-mail déjà utilisée pour un compte FB. Ensuite, il vous sera demandé de réclamer l’e-mail si cela vous appartient.
Une fenêtre contextuelle avec le bouton de réclamation devrait vous rediriger vers l’URL dont nous avons besoin une fois que nous avons cliqué sur le bouton de réclamation.
L’URL devrait ressembler à
https://www.facebook.com/support/openid/accept_hotmail.php?appdata=%7B%22fbid%22%3A%22&code=<code>
Vous avez l’URL. La dernière chose à faire est de créer une page pour mettre l’URL dans un iframe et l’envoyer à la victime.
L’adresse e-mail sera jointe au compte Facebook de la victime une fois qu’elle aura accédé à l’URL. C’est tout. Vous pouvez maintenant pirater le compte Facebook de la victime via l’option réinitialiser le mot de passe.
Cette vulnérabilité de prise de compte CSRF a été trouvée par Dan Melamed en 2013 et a été corrigée immédiatement par l’équipe de sécurité de FB.
Pirater n’importe quel compte Facebook à l’aide de CSRF–2
Cette technique de piratage est similaire à la précédente où la victime doit visiter le site Web de l’attaquant pour que l’attaque fonctionne.
Cette vulnérabilité a été trouvée dans le point de terminaison de l’importateur contact. Quand Facebook autorise un utilisateur à accéder au carnet de contacts de Microsoft Outlook, une demande est adressée au serveur FB qui ajoute à son tour l’e-mail au compte Facebook respectif.
On peut le faire en trouvant l’option contacts dans le compte Facebook de l’attaquant. Ensuite, vous devriez trouver la demande suivante faite au serveur FB (utilisez un proxy d’interception comme burp)
https://m.facebook.com/contact-importer/login?auth_token=
La même requête GET peut être utilisée pour éviter l’attaque CSRF. Tout ce que vous avez à faire est d’intégrer l’URL dans un iframe dans la page d’attaque et de partager le lien avec la victime.
Le compte de la victime peut être piraté dès que la victime visite la page d’attaque.
Ce bogue a été trouvé par Josip en 2013 et corrigé par l’équipe de sécurité FB.
6. Piratage de toute action sur un compte Facebook – Un contournement CSRF
Cette vulnérabilité CSRF permet à l’attaquant de prendre complètement le compte et il a également la possibilité d’effectuer des actions telles que la page de goût, la publication d’une photo, etc. sur le compte Facebook de la victime de manière anonyme sans pirater le compte.
Cette faille existait dans le point de terminaison ads manager. L’exemple de demande de prise en charge du compte CSRF ressemble à ceci
POST/ads/manage/home/?show_dialog_uri =/ paramètres/ email/ ajouter/ soumettre/?new_email = < attacker_email >
Tout ce que l’attaquant a à faire est de créer une page CSRF avec un formulaire pour soumettre automatiquement la demande de publication dans un iframe lorsque la victime atterrit sur la page. L’e-mail de l’attaquant sera ajouté au compte de la victime de manière anonyme.
Ensuite, l’attaquant peut pirater le compte Facebook de la victime en réinitialisant le mot de passe.
Cela a été trouvé par Pouya Darabai en 2015 et a reçu une prime de 15 000 through grâce au programme Facebook bug bounty.
7. Facebook Pirater une page sans être un administrateur
Cette méthode de piratage de page Facebook a été trouvée par Arun en 2016 et a reçu une récompense de 16 000 USD pour cela.
Le point de terminaison Business manager utilisé pour attribuer un partenaire était vulnérable dans ce cas. La modification du paramètre partner business asset ID en un ID de page a permis à Arun de pirater n’importe quelle page.
Demande d’échantillon
POST/business_share/asset_to_agency/
Hôte: business.facebook.com
parent_business_id=<business_id>&agency_id=<business_id>&asset_id=<target_page_id>
Le paramètre Business ID doit être attribué à l’ID business de l’attaquant et le paramètre asset ID doit être remplacé par l’ID de la page Facebook cible.
C’est tout. Maintenant, la page cible devrait appartenir à l’entreprise. L’attaquant peut supprimer les administrateurs de page existants pour prendre complètement le contrôle de la page Facebook.
8. Piratage des photos privées des utilisateurs de Facebook
Cette vulnérabilité de photos privées a été trouvée par moi en 2015 et a reçu une récompense de 10 000 $ dans le cadre de leur programme de primes.
Qu’est-ce que je veux dire par Photos privées en premier lieu? Les photos que vous avez sur mobile et non publiées sur Facebook ce sont celles que je veux dire quand je dis des photos privées.
L’application mobile dispose d’une fonction par défaut appelée synchronisation des photos mobiles. Fait intéressant, cette fonctionnalité a été activée par défaut sur certains téléphones mobiles.
Cette fonctionnalité télécharge vos photos mobiles sur le serveur FB mais les garde privées jusqu’à ce que vous les publiiez manuellement sur Facebook.
Une vulnérabilité dans un point de terminaison gérant ces photos privées permet à toute application tierce d’afficher/d’accéder aux photos privées de l’utilisateur. Pour que cette attaque fonctionne, l’application tierce doit avoir accès aux photos publiques de l’utilisateur, alors seulement elle peut accéder aux photos privées.
Exemple de demande d’API graphique pour accéder aux photos privées de la victime ressemble à ceci
GET/me/vaultimages
Host:graph.Facebook.com
access_token = <victim_access_token >
C’est tout. La réponse du point de terminaison de l’API doit contenir les URL des photos privées de la victime.
Facebook a corrigé le problème en mettant sur liste blanche les applications pouvant accéder au point de terminaison vaultimages.
9. Piratage Facebook Photos
Arul Kumar a trouvé un moyen de supprimer n’importe quelle photo sur Facebook en 2013 et ils l’ont récompensé de 12 500 for pour ses efforts.
Facebook dispose d’une fonctionnalité permettant de signaler une photo au propriétaire si quelqu’un souhaite la supprimer. Le propriétaire de la photo reçoit une notification et un lien pour supprimer la photo une fois signalée par quelqu’un.
Arul a constaté que la fonction de rapport de photos du tableau de bord de support ne validait pas correctement les identifiants de propriétaire, ce qui lui permettait de remplacer le paramètre ID de propriétaire par son propre identifiant de compte Facebook pour obtenir directement le lien de suppression de photos.
Ensuite, l’attaquant peut supprimer la photo à l’aide du lien gagné de l’exploit. Le pire à propos de cette attaque est que la victime ne saura pas que la photo a été supprimée. Cette vulnérabilité est complètement corrigée maintenant.
10. Facebook Pirater les albums photo / vidéo de tout utilisateur de Facebook
Cette vulnérabilité a été trouvée par moi en 2015 qui m’a permis de supprimer tous les albums sur Facebook. Les albums contenant des milliers de photos et de vidéos peuvent être supprimés instantanément sans l’interaction de son propriétaire.
L’API graphique est le principal moyen de communication entre le serveur et les applications natives/ tierces. Le nœud Albums du point de terminaison de l’API Graph était vulnérable à la référence d’objet non sécurisée, ce qui m’a permis d’émettre l’ID d’album de n’importe quel utilisateur pour traiter la suppression.
Un exemple de demande de suppression d’un album photo Facebook
POST/<album_id >
Hôte: www.facebook.com
access_token = < top_level_facebook_access_token > &method = delete
Cela pourrait supprimer l’album spécifié dans le paramètre ID. L’attaquant devrait avoir la permission de voir l’album pour terminer l’attaque. Facebook a corrigé ce problème en corrigeant le point de terminaison pour n’autoriser que les utilisateurs disposant de privilèges et m’a récompensé de 12 500 USD pour avoir signalé la vulnérabilité.
11. Facebook Pirater des vidéos
Pranav a trouvé une vulnérabilité qui lui permettait de supprimer toutes les vidéos Facebook sans autorisations concentes.
Facebook a la possibilité d’ajouter une vidéo aux commentaires de n’importe quel message. Pranav a constaté que la fixation de vidéos existantes à un commentaire est possible et que la suppression du commentaire pourrait nous permettre de supprimer facilement la vidéo source.
L’attaquant doit donc essayer de modifier un commentaire existant sur une publication avec l’ID vidéo Facebook de quelqu’un via la demande d’API graphique suivante.