Connect with us

News

Vulnerabilità Facebook: Come Hackerare un account

Avatar

Pubblicato

il

Un ricercatore di sicurezza ha rivelato una vulnerabilità critica di cross-site request forgery (CSRF) nella piattaforma di social media più popolare che avrebbe potuto consentire agli aggressori di dirottare gli account di Facebook semplicemente ingannando gli utenti mirati a fare clic su un collegamento.

Il ricercatore, che fa riferimento all’alias online “Samm0uda”, ha scoperto la vulnerabilità dopo aver individuato un endpoint difettoso (facebook.com/comet/dialog_DONOTUSE/) che avrebbe potuto essere sfruttato per aggirare le protezioni CSRF e l’account della vittima di acquisizione.

“Questo è possibile a causa di un endpoint vulnerabile che prende un altro endpoint di Facebook selezionato dall’attaccante insieme ai parametri e fa una richiesta POST a quell’endpoint dopo aver aggiunto il parametro fb_dtsg”, dice il ricercatore sul suo blog .

“Anche questo endpoint si trova sotto il dominio principale www.facebook.com che rende più facile per l’aggressore ingannare le sue vittime a visitare l’URL.”



Assumere il pieno controllo deil’account delle vittime o ingannarli nell’eliminare il loro intero profilo Facebook richiede qualche sforzo in più da parte dell’attaccante, poiché le vittime devono inserire la loro password prima che l’account venga eliminato.

Per fare questo, il ricercatore ha detto che avrebbe richiesto alle vittime di visitare due URL separati, uno per aggiungere l’e-mail o il numero di telefono e uno per confermarlo.

È “perché gli endpoint ” normali “utilizzati per aggiungere e-mail o numeri di telefono non hanno un parametro ” successivo “per reindirizzare l’utente dopo una richiesta riuscita”, afferma il ricercatore.

Samm0uda ha segnalato la vulnerabilità con i dettagli del suo exploit su Facebook il 26 gennaio. Il gigante dei social media ha riconosciuto il problema e lo ha corretto il 31 gennaio, ricompensando il ricercatore con $ 25.000 come parte del programma di bug Facebook.

Ti potrebbe interessare

Leak – 1 miliardo e 400 milioni di email e p... Una dei più grandi Breach della storia che contiene oltre 1 miliardo e 400 milioni di email e password. Il leak era menzionato su Reddit da un utente ...
Google DNS supporta DNS-over-TLS Security Lanciato oltre otto anni fa, il DNS pubblico di Google, agli indirizzi IP 8.8.8.8 e 8.8.4.4, è il più grande risolutore ricorsivo di Domain Name Servi...
A spasso nel Web con lo smartphone… ma invis... Realizza un VPN Tor server per collegarti a Internet da smartphone Android o iOS non sbloccati, senza lasciare tracce. Gli smartphone sono ormai dive...
VirtualBox – Scoperta Vulnerabilità exploit ... Sergey Zelenyuk un ricercatore indipendente di exploit e vulnerabilità ha divulgato pubblicamente una vulnerabilità zero-day in VirtualBox, un popolar...

Facebook Comment


In Edicola


Dal 15 FEBBGRAIO 2019!

Forum

Facebook

Trending

IN EDICOLA