Facebook permite revelar el nombre y apellido de sus 500 millones de usuarios

De pcastagnaro -

En estos días se está dando a conocer algo muy curioso en Facebook. Cuando un usuario ingresa su email y su contraseña para loguearse pero la contraseña es incorrecta, Facebook devuelve el nombre, apellido, mail y foto de perfil de ese usuario, aún cuando dicho usuario haya configurado su cuenta para hacer que la información privada no sea divulgada.

No se sabe si definirlo como una vulnerabilidad (ya que permite a los atacantes obtener información de una cuenta solo con tener el email, aún cuando el usuario de Facebook tiene aplicadas correctamente las preferencias de seguridad), como un bug (ya que es un error en el sistema de entrada) o como una nueva funcionalidad (ya que lo hace un poco mas "lindo"), pero lo que sí se sabe es que es una fuga de información muy grande, la cual puede ser aprovechada por los estafadores de ingeniería social, phishing o cualquier persona que haya tenido curiosidad por una persona de la cual se conoce solamente su correo electrónico.

Si la dirección de email pertenece a cualquiera de los 500 millones de usuarios activos en Facebook, el sitio de redes sociales devolverá el nombre completo y la imagen asociada a la cuenta.

captura_01 Aug. 11 18.05

"Los usuarios de Facebook no tienen control sobre esto, ya que funciona incluso cuando haya definido todos los parámetros de privacidad adecuada", afirmó Atul Agarwal de las Tecnologías de Secfence el miércoles sobre la divulgación la lista de correos. "La recolección de estos datos es muy fácil, ya que puede ser fácilmente superada."

La explotación de la vulnerabilidad es tan fácil como introducir la dirección de correo electrónico en el Facebook en la página de inicio de sesión, escribir una contraseña aleatoria y oprimir la tecla Enter. Para agilizar el ataque, Agarwal ha escrito un script PHP que trabaja con grandes listas de direcciones de correo electrónico y se puede descargar desde aquí.

En ethical hacking existe una etapa que se denomina Data Minning (minería de datos) y que consiste en la extracción no trivial de información que reside de manera implícita en los datos.

Esto que nos permite el fenómeno creado por Mark Zuckerberg es una herramienta muy poderosa para los hackers y usuarios malintencionados.

 

Downloads del script:

 

Datos a tener en cuenta para correr el script:

  1. Se necesita tener un servidor Apache y cURL instalado (para poder correr el PHP) o subirlo a un hosting que tenga Apache y cURL.
  2. Al script original hay que pasarle como parámetros la ruta a un archivo TXT con los emails a escanear (separados por un salto de línea) y la ruta a un archivo de salida (también TXT).
  3. Como el punto 2 es un poco difícil, me tomé la libertad de modificar el script. En el mismo se le asigna a la variable $tlist la ruta a un archivo TXT con los emails a escanear y a la variable $ofile la ruta a un archivo de salida como se muestra en la siguiente imagen:

Image634172049170922350

Ante cualquier consulta no dude en contactar al autor del post (o sea yo)  Wink

Comentarios

Publicar un comentario

Siéntase libre de dejar su comentario a continuación...

Entradas populares de este blog

Trinity Rescue Kit: Tutorial para eliminar la contraseña de administrador en Windows

De pcastagnaro -
Imagen
Quiero compartir con ustedes una utilidad muy importante, tanto para el escaneo de virus como para la recuperación de datos en una PC. Trinity Rescue Kit (TRK) es una distribución Linux que se ejecuta como un LiveCD (es decir, se bootea desde el arranque de la máquina) para poder escanear y chequear los discos duros desde fuera . Si bien se puede chequear cualquier sistema operativo, su uso está dirigido a aquellos sistemas con Windows que pueden haber sido afectados por un virus o con pérdida de datos. Se basa en un kernel de la distro Mandriva para utilizar los comandos y demás. Para remover los virus, utiliza 4 motores de antivirus muy poderosos: BitDefender Scanner, Grisoft AVG, F-prot y Clamav . Un agregado importante es que si tenés una conexión a internet que utilice DHCP, las bases de los antivirus se actualizarán inmediatamente.
Leer más

Cómo extraer el handshake WPA/WPA2 de archivos de captura grandes

De Unknown -
Imagen
Cuando se posee una captura de tráfico en formato .pcap o .cap con el handshake WPA/WPA2 suele suceder que el mismo posee un tamaño grande o excesivamente grande según el tiempo que se haya tardado en obtener el handshake. Si lo que se desea es un archivo de tráfico con sólamente los paquetes necesarios para hacer el crackeo, a continuación se muestran los pasos que se deberán llevar a cabo para filtrar un archivo de captura mostrando sólo aquellos paquetes necesarios y cómo exportarlo con el fin de obtener un nuevo archivo de captura liviano pero con la información que se desea.
Leer más

15 Editores Hexadecimales para Windows y Linux

De pcastagnaro -
Imagen
Esta es una recopilación con los editores hexadecimales que se han ido mencionando para ver sus características más importantes y resumirlas en esta entrada. Pese a que todos son usados para lo mismo, las diferencias entre muchas de ellas son importantes y dependiendo de la situación y los requisitos es posible que se use más de una. Como siempre, lo mejor es descargar una demo de todas e ir probando sus funcionalidades. Al final cada persona aprecia aspectos distintos.
Leer más