“Come hackerare Facebook?”è una delle domande più ricercate su Internet. Molti di noi vogliono male hackerare l’account Facebook di qualcuno, ma ovviamente non è un lavoro facile, almeno per un principiante.
Ci sono tonnellate di siti web su Internet dove è possibile trovare una varietà di strumenti e metodi di hacking Facebook, ma la maggior parte di loro sono falsi e il resto di loro hanno bisogno di competenze tecniche. Si prega di attenzione di strumenti di hacking, la maggior parte degli strumenti in realtà incidere il tuo account Facebook al posto dell’utente di destinazione.
Se qualcuno è in grado di hackerare account Facebook, significa che hanno una vulnerabilità di sicurezza conto takeover che colpisce FB. Possono venderlo ad un mercato nero illegalmente per milioni di dollari. Possono ottenere fama immediata e migliaia di dollari in ricompensa se segnalano la vulnerabilità legittimamente attraverso il programma bug bounty.
Cosa ottengono condividendo il metodo online, anche questo gratuitamente? Cosa ottengono per creare uno strumento / software gratuito basato su di esso? Assolutamente NIENTE.
Quindi gli strumenti di hacking gratuiti che vedi su Internet sono tutti falsi. Non sprecate il vostro tempo prezioso alla ricerca di tali strumenti di hacking.
Se tutti i metodi di hacking FB hanno bisogno di competenze tecniche, allora come mai un gran numero di persone ottiene il loro account violato?
Ci sono alcuni metodi come il Phishing che può essere fatto facilmente utilizzando le risorse disponibili su Internet. Puoi saperne di più su tali metodi di hacking di Facebook.
Inoltre, vedere perché Facebook mi ha premiato USD 10.000 USD per l’hacking di foto private di Facebook mobile app utilizzando una vulnerabilità di sicurezza.
Un ladro potrebbe non usare sempre la porta per entrare in casa. Allo stesso modo, un hacker potrebbe non aver bisogno della tua password per tutto il tempo per hackerare il tuo account Facebook. In realtà, il più delle volte una password non è necessaria per un hacker per hackerare il tuo account Facebook. Suona strano? Sarebbe a meno che non sei un hacker
Gli hacker non sono maghi di usare trucchi per ottenere lo spettacolo fatto. Lo fanno in modo difficile. Trascorrono giorno e notte alla ricerca di una vulnerabilità di sicurezza che colpisce Facebook. Hacking di un account non è difficile una volta che hanno una vulnerabilità.
Ci accingiamo a coprire alcune tecniche di hacking Facebook scoperto sul programma bug bounty che avrebbe potuto permettere a chiunque incidere in qualsiasi account FB SENZA PASSWORD. Si prega di notare che tutti i metodi elencati qui sono patchati dal team di Facebook e non funziona più. Ma si otterrà un’idea di base di come gli hacker potrebbero incidere un account senza conoscere la password effettiva. Controllare il link inserito in ogni metodo se si desidera visualizzare maggiori dettagli.
Hack qualsiasi account Facebook con un SMS mobile
Questa vulnerabilità potrebbe consentire a un utente di hackerare account FB facilmente in una frazione di secondi. Tutto ciò che serve è un numero di cellulare attivo. Questo difetto esisteva nell’endpoint confirm mobile number in cui gli utenti verificano il loro numero di cellulare.
L’esecuzione di questa vulnerabilità è molto semplice. Dovremmo inviare un messaggio nel seguente formato.
FBOOK a 32665 (per gli Stati Uniti)
Si dovrebbe ricevere uno shortcode. Quindi, una richiesta al server FB con l’ID utente di destinazione, shortcode e alcuni altri parametri potrebbero fare la magia.
Richiesta di esempio
Post /ajax/settings/mobile/confirm_phone.php
Host: www.facebook.com
profile_id=<target_user_id>&code=<short_code>&other_boring_parameters
Questo è tutto. L’invio di questa richiesta al server di Facebook con qualsiasi cookie utente può hackerare l’account di destinazione. Il tuo numero di cellulare sarà collegato all’account FB dell’utente di destinazione una volta ricevuta una risposta dal server FB. Ora è possibile avviare una richiesta di reimpostazione della password utilizzando il numero di cellulare e hackerare facilmente l’account di destinazione.
Questa vulnerabilità è stata trovata da Jack nel 2013. Il team di sicurezza FB ha risolto il problema abbastanza rapidamente e lo ha premiato 2 20,000 USD come parte del loro programma di taglie.
Hack qualsiasi account Facebook utilizzando attacco di forza bruta
Questa vulnerabilità di forza bruta porta a completare conto FB acquisizione che è stato trovato da Anand nel 2016. Facebook lo ha premiato 1 15.000 come parte del loro programma di bug bounty.
Questo difetto trovato su reset password endpoint di Facebook. Ogni volta che un utente dimentica la sua password, lui/lei può reimpostare la password utilizzando questa opzione inserendo il suo numero di telefono o indirizzo e-mail.
Verrà inviato all’utente un codice di 6 cifre per verificare se la richiesta è stata fatta dall’interessato. L’utente può quindi reimpostare la propria password inserendo il codice di verifica a 6 cifre.
Non è possibile provare diverse combinazioni del codice più di 10 o 12 tentativi poiché il server FB bloccherà temporaneamente l’account per la reimpostazione della password.
Anand ha scoperto che mbasic.facebook.com e beta.Facebook.com non è riuscito a eseguire la convalida della forza bruta consentendo così a un utente malintenzionato di provare tutte le possibilità del codice a sei cifre.
Richiesta di Esempio
Post /recuperare/come/codice/
Host: mbasic.facebook.com
n=<6_digit_code>&other_boring_parameters
Provando tutte le possibilità (brute forcing) di sei cifre parametro (n=123456) consente a un utente malintenzionato di impostare una nuova password per ogni utente FB. Questo può essere ottenuto da qualsiasi strumento di forza bruta disponibile online.
Facebook ha risolto questa vulnerabilità ponendo limiti al numero di tentativi che si possono eseguire sull’endpoint del codice di ripristino.
Hacking qualsiasi account Facebook utilizzando Brute Force Attack – 2
Arun trovato la stessa vulnerabilità brute force in un altro sottodominio (lookaside.facebook.com) di Facebook che lo aveva ottenuto reward 10.000 ricompensa da Facebook nel 2016.
Inizialmente, hanno rifiutato il bug dicendo che non sono in grado di riprodurlo. La vulnerabilità è stata accettata solo dopo poche settimane e la patch è stata implementata non appena il team di sicurezza è stato in grado di riprodurre il problema.
E la richiesta di esempio guarda come questo
Post /recuperare/come/codice/
Host: lookaside.facebook.com
n=<6_digit_code>&other_boring_parameters
L’attacco scenario è esattamente la stessa che abbiamo visto nel precedente metodo e l’unica differenza è il nome di dominio.
Hacking di qualsiasi account Facebook utilizzando un Cross Site Request Forgery Attack
Questo metodo richiede alla vittima di visitare un link al sito web (in un browser in cui la vittima deve essere loggato in Facebook) per completare l’attacco di hacking.
Per quelli di voi che non conoscono gli attacchi CSRF, leggete qui.
Il difetto esisteva nel rivendicare l’indirizzo e-mail endpoint di Facebook. Quando un utente rivendica un indirizzo e-mail, non è stata eseguita alcuna convalida lato server di quale utente sta effettuando la richiesta, quindi consente di richiedere un’e-mail su qualsiasi account FB.
È necessario ottenere l’URL di reclamo e-mail prima di creare una pagina di attacco CSRF. Per questo, prova a cambiare il tuo indirizzo email in un indirizzo email già utilizzato per un account FB. Poi vi verrà chiesto di rivendicare l’e-mail se questo appartiene a voi.
Un popup con il pulsante claim dovrebbe reindirizzare all’URL di cui abbiamo bisogno una volta cliccato sul pulsante claim.
L’URL dovrebbe essere simile
https://www.facebook.com/support/openid/accept_hotmail.php?appdata=%7B%22fbid%22%3A%22&code=<code>
Hai l’URL. L’ultima cosa che dobbiamo fare è creare una pagina per inserire l’URL in un iframe e inviarlo alla vittima.
L’indirizzo e-mail verrà allegato all’account Facebook della vittima una volta che si naviga verso l’URL. Ecco fatto. È ora possibile hack account Facebook della vittima attraverso l’opzione reimposta password.
Questa vulnerabilità CSRF account takeover è stata trovata da Dan Melamed nel 2013 ed è stata patchata immediatamente dal team di sicurezza FB.
Hack qualsiasi account Facebook utilizzando CSRF – 2
Questa tecnica di hacking è simile a quella precedente in cui la vittima ha bisogno di visitare il sito web attaccante per l’attacco di lavorare.
Questa vulnerabilità è stata trovata in contact importer endpoint. Quando un utente approva Facebook per accedere alla rubrica di contatti di Microsoft Outlook, viene effettuata una richiesta al server FB che a sua volta aggiunge l’e-mail al rispettivo account Facebook.
Si può fare questo da Trovare l’opzione contatti nell’account Facebook attaccante. Quindi dovresti trovare la seguente richiesta fatta al server FB (usa il proxy di intercettazione come burp)
https://m.facebook.com/contact-importer/login?auth_token=
La stessa richiesta GET può essere utilizzata per perfrom l’attacco CSRF. Tutto quello che devi fare è incorporare l’URL in un iframe nella pagina di attacco e condividere il link con la vittima.
L’account della vittima può essere violato non appena la vittima visita la pagina di attacco.
Questo bug è stato trovato da Josip su 2013 e patchato dal team di sicurezza FB.
6. Hacking qualsiasi azione su account Facebook-Un bypass CSRF
Questa vulnerabilità CSRF consente all’utente malintenzionato di assumere completamente l’account e ha anche la capacità di eseguire qualsiasi azione come la pagina di gradimento, la pubblicazione di una foto, ecc. sull’account Facebook della vittima in modo anonimo senza hackerare l’account.
Questo difetto esisteva nell’endpoint ads manager. L’account di esempio assume la richiesta CSRF simile a questa
POST /ads/manage/home/?show_dialog_uri= / settings / email/add/submit/?new_email = < attacker_email>
Tutto ciò che l’attaccante deve fare è creare una pagina CSRF con un modulo per inviare automaticamente la richiesta post in un iframe quando la vittima atterra sulla pagina. L’e-mail dell’attaccante verrà aggiunta all’account della vittima in modo anonimo.
Quindi l’attaccante può hackerare l’account Facebook della vittima reimpostando la password.
Questo è stato trovato da Pouya Darabai nel 2015 e ha ottenuto una taglia di Facebook 15.000 attraverso il programma bug bounty di Facebook.
7. Hack qualsiasi pagina di Facebook senza essere un admin
Questo metodo di hacking pagina di Facebook è stato trovato da Arun in 2016 e ha ottenuto una ricompensa di USD 16,000 USD per esso.
L’endpoint Business manager utilizzato per assegnare un partner era vulnerabile in questo caso. La modifica del parametro ID asset business partner in un ID pagina ha consentito ad Arun di accedere a qualsiasi pagina.
Richiesta di Esempio
POST /business_share/asset_to_agency/
Host: business.facebook.com
parent_business_id=<business_id>&agency_id=<business_id>&asset_id=<target_page_id>
Business parametro ID dovrebbe essere assegnato a un utente malintenzionato di business ID e ID cespite parametro deve essere sostituito con il target di Facebook ID della pagina.
Questo è tutto. Ora la pagina di destinazione dovrebbe essere di proprietà dell’azienda. L’utente malintenzionato può rimuovere gli amministratori di pagina esistenti per prendere completamente in consegna la pagina di Facebook.
8. Hacking Facebook foto private dell’utente
Questa vulnerabilità foto private è stato trovato da me nel 2015 e ha ottenuto una ricompensa di $10.000 come parte del loro programma di taglie.
Cosa intendo per foto private in primo luogo? Le foto che avete in cellulare e non pubblicati su Facebook quelli sono quelli che intendo quando dico foto private.
L’app mobile ha una funzione predefinita chiamata sincronizzazione di foto mobili. È interessante notare che questa funzione è stata attivata di default in alcuni telefoni cellulari.
Questa funzione carica le tue foto dal cellulare sul server FB ma le mantiene private fino a quando non le pubblichi manualmente su Facebook.
Una vulnerabilità in un endpoint che gestisce queste foto private consente a qualsiasi app di terze parti di visualizzare / accedere alle foto private dell’utente. Affinché questo attacco funzioni, l’app di terze parti deve avere accesso alle foto pubbliche dell’utente, solo allora può accedere alle foto private.
Richiesta di esempio per Graph API per accedere alle foto private della vittima si presenta così
GET / me /vaultimages
Host: graph.Facebook.com
access_token=< victim_access_token>
Questo è tutto. La risposta dall’endpoint API dovrebbe avere gli URL alle foto private della vittima.
Facebook ha corretto il problema inserendo nella whitelist le app che possono accedere all’endpoint vaultimages.
9. Hacking Foto di qualsiasi utente di Facebook
Arul Kumar trovato un modo per eliminare qualsiasi foto su Facebook nel 2013 e lo hanno premiato $12.500 per i suoi sforzi.
Facebook ha una funzione per segnalare foto al proprietario se qualcuno vuole ottenere la foto rimossa. Il proprietario della foto riceve una notifica e un link per eliminare la foto una volta segnalata da qualcuno.
Arul ha scoperto che la funzione di reporting fotografico del dashboard di supporto non convalidava correttamente gli ID proprietario, quindi gli permetteva di sostituire il parametro ID proprietario con il proprio ID account Facebook per ottenere direttamente il link di cancellazione della foto.
Quindi l’attaccante può eliminare la foto con l’aiuto del link guadagnato dall’exploit. La parte peggiore di questo attacco è che la vittima non saprà che la foto è stata cancellata. Questa vulnerabilità è completamente risolto ora.
10. Hack Album di foto/video di qualsiasi utente di Facebook
Questa vulnerabilità è stata trovata da me nel 2015 che mi ha permesso di abbattere qualsiasi album su Facebook. Gli album con migliaia di foto e video possono essere cancellati istantaneamente senza l’interazione del suo proprietario.
Graph API è il modo principale di comunicazione tra il server e le app native/di terze parti. Il nodo album dell’endpoint API Graph era vulnerabile al riferimento all’oggetto insicuro, quindi mi ha permesso di emettere l’ID album di qualsiasi utente per elaborare l’eliminazione.
Un esempio di richiesta di eliminare qualsiasi Facebook photo album
POST /<album_id>
Host: www.facebook.com
access_token=<top_level_facebook_access_token>&metodo=elimina
Questo potrebbe eliminare l’album specificato nel parametro ID. L’attaccante dovrebbe avere il permesso di visualizzare l’album per completare l’attacco. Facebook ha corretto questo problema risolvendo l’endpoint per consentire solo agli utenti con privilegi e mi ha premiato USD 12,500 USD per la segnalazione della vulnerabilità.
11. Hack qualsiasi video di Facebook
Pranav trovato una vulnerabilità che gli ha permesso di eliminare qualsiasi video di Facebook senza permessi concent.
Facebook ha un’opzione per aggiungere video ai commenti su qualsiasi post. Pranav ha scoperto che allegare video esistenti a un commento è possibile e l’eliminazione del commento potrebbe farci eliminare facilmente il video sorgente.
Quindi l’attaccante dovrebbe provare a modificare un commento esistente su un post con l’ID video di Facebook di qualcuno attraverso la seguente richiesta API graph.