LUK
30-07-2010, 19:51
Ron Bowes de SkullSecurity.org publicó ayer un interesante artículo (http://www.skullsecurity.org/blog/?p=887) con unos resultados también muy interesantes, y útiles sobre todo: Cómo consiguió un listado con unos 150 millones de usuarios de Facebook.
Ni inyección SQL, ni acceso al panel de administrador ni nada de nada. Tranquilidad.
Tras seguir un tweet de FSLabs (http://twitter.com/FSLabsAdvisor/status/18442678378) en el que se indicaba una dirección con una especie de directorio de esta red social (http://www.facebook.com/directory), Ron vió la luz.
http://3.bp.blogspot.com/_fWA7DVpD2eo/TE9VnnPH-lI/AAAAAAAAAds/DeDa2xgfjYk/s320/fbdirectory.jpg (http://3.bp.blogspot.com/_fWA7DVpD2eo/TE9VnnPH-lI/AAAAAAAAAds/DeDa2xgfjYk/s1600/fbdirectory.jpg)
Vió la luz, y un buen puñado de nombres y apellidos, como es de esperar en un directorio. Tenía dos opciones: ir nombre por nombre, obteniendo su url de perfil y su nombre y apellidos...o hacerse un pequeño script (http://www.skullsecurity.org/blogdata/facebook.rb) que hiciese esta labor tan ardua. No era algo descabellado: justamente ya comentamos por aquí como Mark Zuckerberg utilizó estos mismos métodos para engendrar The Facebook (http://www.securitybydefault.com/2010/07/hackeos-memorables-como-nace-facebook.html).
Y así fue, tras dejar que funcionase un buen rato, obtuvo el listado completo de los usuarios de Facebook que no tuviesen la protección frente a búsquedas activadas en sus opciones de privacidad. Una gran mayoría por lo que parece. Aunque sabemos que hace poco llegó a 500 millones, lo obtenido por Ron es más que suficiente como muestra para su siguiente acción: es el turno de las estadísticas, análisis de todo el directorio obtenido y posterior creación de listas basadas en diferentes criterios (primera letra del nombre seguida de apellidos, nombres de usuarios, nombre con un punto y apellido, etc).
¿Pero para que podrían servirnos estas listas si no nos interesan mucho las estadísticas? Muy sencillo: si os veis en la situación de necesitar una enumeración de usuarios válidos para un servicio (¿alguien ha dicho fuerza bruta? yo no), con esta y otras listas seguro que se consigue por lo menos algún que otro nombre correcto y registrado. Al fin y al cabo, la fuente es más que fidedigna.
http://2.bp.blogspot.com/_fWA7DVpD2eo/TE9aDxH1kXI/AAAAAAAAAd0/4wQ248iH7Bg/s320/fblists.jpg (http://2.bp.blogspot.com/_fWA7DVpD2eo/TE9aDxH1kXI/AAAAAAAAAd0/4wQ248iH7Bg/s1600/fblists.jpg)
Ron ha puesto a disposición de todo el mundo, mediante torrent, el compilado con las listas que os comentamos, el volcado de todo el directorio con direcciones del perfil, nombres, apellidos y demás, así como las herramientas utilizadas, scripts, etc. Como bien dice, es tontería volver a lanzar las herramientas y gastar ciclos y memoria, así que si queréis haceros vuestras listas con criterios personalizados, podréis descargar el fichero de torrent (comprimido de unos 2.79 Gb) en esta dirección. (http://www.skullsecurity.org/blogdata/fbdata.torrent)
En los comentarios, se revelan más direcciones de facebook que podrían resultar interesantes...
[+] Return of the Facebook Snatchers (http://www.skullsecurity.org/blog/?p=887) (skullsecurity.org)
Publicado por José A. Guasch en http://www.securitybydefault.com/2010/07/la-wordlist-por-excelencia-100-millones.html
Ni inyección SQL, ni acceso al panel de administrador ni nada de nada. Tranquilidad.
Tras seguir un tweet de FSLabs (http://twitter.com/FSLabsAdvisor/status/18442678378) en el que se indicaba una dirección con una especie de directorio de esta red social (http://www.facebook.com/directory), Ron vió la luz.
http://3.bp.blogspot.com/_fWA7DVpD2eo/TE9VnnPH-lI/AAAAAAAAAds/DeDa2xgfjYk/s320/fbdirectory.jpg (http://3.bp.blogspot.com/_fWA7DVpD2eo/TE9VnnPH-lI/AAAAAAAAAds/DeDa2xgfjYk/s1600/fbdirectory.jpg)
Vió la luz, y un buen puñado de nombres y apellidos, como es de esperar en un directorio. Tenía dos opciones: ir nombre por nombre, obteniendo su url de perfil y su nombre y apellidos...o hacerse un pequeño script (http://www.skullsecurity.org/blogdata/facebook.rb) que hiciese esta labor tan ardua. No era algo descabellado: justamente ya comentamos por aquí como Mark Zuckerberg utilizó estos mismos métodos para engendrar The Facebook (http://www.securitybydefault.com/2010/07/hackeos-memorables-como-nace-facebook.html).
Y así fue, tras dejar que funcionase un buen rato, obtuvo el listado completo de los usuarios de Facebook que no tuviesen la protección frente a búsquedas activadas en sus opciones de privacidad. Una gran mayoría por lo que parece. Aunque sabemos que hace poco llegó a 500 millones, lo obtenido por Ron es más que suficiente como muestra para su siguiente acción: es el turno de las estadísticas, análisis de todo el directorio obtenido y posterior creación de listas basadas en diferentes criterios (primera letra del nombre seguida de apellidos, nombres de usuarios, nombre con un punto y apellido, etc).
¿Pero para que podrían servirnos estas listas si no nos interesan mucho las estadísticas? Muy sencillo: si os veis en la situación de necesitar una enumeración de usuarios válidos para un servicio (¿alguien ha dicho fuerza bruta? yo no), con esta y otras listas seguro que se consigue por lo menos algún que otro nombre correcto y registrado. Al fin y al cabo, la fuente es más que fidedigna.
http://2.bp.blogspot.com/_fWA7DVpD2eo/TE9aDxH1kXI/AAAAAAAAAd0/4wQ248iH7Bg/s320/fblists.jpg (http://2.bp.blogspot.com/_fWA7DVpD2eo/TE9aDxH1kXI/AAAAAAAAAd0/4wQ248iH7Bg/s1600/fblists.jpg)
Ron ha puesto a disposición de todo el mundo, mediante torrent, el compilado con las listas que os comentamos, el volcado de todo el directorio con direcciones del perfil, nombres, apellidos y demás, así como las herramientas utilizadas, scripts, etc. Como bien dice, es tontería volver a lanzar las herramientas y gastar ciclos y memoria, así que si queréis haceros vuestras listas con criterios personalizados, podréis descargar el fichero de torrent (comprimido de unos 2.79 Gb) en esta dirección. (http://www.skullsecurity.org/blogdata/fbdata.torrent)
En los comentarios, se revelan más direcciones de facebook que podrían resultar interesantes...
[+] Return of the Facebook Snatchers (http://www.skullsecurity.org/blog/?p=887) (skullsecurity.org)
Publicado por José A. Guasch en http://www.securitybydefault.com/2010/07/la-wordlist-por-excelencia-100-millones.html