Tin An Ninh Mạng

Hack tài khoản facebook chỉ với 1 tin nhắn

hacker 17
Bạn có thể không bao giờ tưởng tượng rằng một tin nhắn văn bản duy nhất cũng đủ để hack một tài khoản Facebook bất kỳ nào đó mà không cần tương tác người dùng hoặc không sử dụng bất kỳ công cụ độc hại khác như Trojans , phishing, keylogger …vvv

Nhà nghiên cứu bảo mật tại Anh , ” fin1te ” có thể hack bất kỳ tài khoản Facebook trong vòng một phút bằng cách thực hiện một tin nhắn SMS .

90% trong chúng ta là người sử dụng Facebook, Có một tùy chọn liên kết số điện thoại di động của bạn với tài khoản facebook , liên kết đó cho phép bạn nhận thông tin tài khoản Facebook qua tin nhắn SMS trực tiếp đến điện thoại di động của bạn và bạn cũng có thể đăng nhập vào tài khoản của bạn bằng cách sử dụng con số liên kết chứ không phải là địa chỉ email hoặc tên người dùng của bạn.

Theo hacker “fin1te”, Lỗ hổng này nằm trong file/ ajax / settings/ mobile / confirm_phone.php.Cái này có các thông số khác nhau nhưng có 2 mã chính là mã xác minh từ mobile và profile_id .

Các bước tiến hành tấn công của hacker:
-Gửi 1 tin nhắn tới số 32665 , đây là số của facebook tại nước Anh.Sau khi gửi tin sẽ nhận được mã xác thực gồm 8 ký tự.

{

}

1490892959mess.jpg

Sau đó chúng ta điền code trên vào đây: https://www.facebook.com/settings?tab=mobile
Và thay đổi profile_id trong form thefbMobileConfirmationForm.

14908929593.png

Submit yêu cầu và nhận được giá trị trả về 200 của trình duyệt.Bạn có thể thấy giá trị người dùng là khác so với profile_id vì nó đã được đã sửa đổi.Hình dưới:

14908929594.png

Sau đó nhận được 1 tin nhắn SMS với mã xác nhận:

14908929595.jpg

Bây giờ chúng ta có thể bắt đầu yêu cầu nhận lại mật khẩu người dùng qua mã xác nhận.

14908929596.png

Một tin nhắn SMS khác nhận về với mã đặt lại:

14908929597.png

Click vào link reset mật khẩu và chọn mật khẩu mới.
Với hình thức tấn công qua profile_id hacker có thể chiếm dụng được một tài khoản facebook bất kỳ của người sử dụng.
Để vá lỗ hổng này facekook cần không phản hổi các thông số profile_id từ người sử dụng.
Facebook đã trả cho hacker “fin1te” 20.000 $ khi phát hiện lỗ hổng bảo mật trên.

Theo hacker news và fin1te blog.

Re: Hack tài khoản facebook chỉ với 1 tin nhắn

Nếu dùng face trên smart phone thì Facebook thường xuyên được cập nhật và có lẽ ng dùng cũng nên cập nhật thường xuyên bản facebook mới.

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !