No se que hacer con esto he encontrado el metodo mas sencillo del mundo no hace falta tener conocimientos avanzados de informatica cualquiera puede hacerlo, por el cual cualquiera que este en la lista de contactos del facebook de otro puede quedarse con la cuenta de facebook del contacto de su lista que quiera, el metodo es super sencillo y sin usar ningun tipo de herramienta, quiero contactar con facebook antes de publicarlo en internet y en este foro en primer lugar porque esto es gordisimo........podrias quedarte con la cuenta de tu mujer de hacienda de cualquiera con el simple hecho de estar en su lista de contactos, asi podrias coger quedarte incluso la cuenta de entidades publicas del banco y cambiar la info que tienen y poner por ejemplo hoy regalamos 1000 euros a todos los que acudan a nuestras oficinas del banco y nos indiquen han visto este mensaje y colapsar todas las oficinas de un banco en toda españa durante dias.......de verdad esto es asi y ademas un amigo me ha confirmado que ha realizado el proceso con la cuenta de su mujer con consentimiento a modo de verificacion y es correcto funciona perfectamente.... tengo pruebas se ha realizado tengo capturas de pantalla del proceso y todo por todo..... espero que lluk y clarinetista me indiqueis que debo hacer.....yo creo qeu lo correcto seria informar a facebook en primer lugar para que corrijan este tremendo fallo puesto que no hay cuenta en el mundo que no este comprometida...... esto es muy gordo señores muy muy gordo.....

en las cuentas en abierto sin problema en las cuentas con seguridad con una informacion super basica que podrias incluso preguntar a tu victima o incluso saberla si es tu mujer amigo novia...tambien se puede.........

ahora para las de entidades empresas y demas solo necesito saber los emails con los que acceden para usuario con cuentas personales esta ya listo de papeles y funciona.....joooooder acabo de preguntar a uno de mis contactos esa info que digo que es tan basica y es que en este caso ni lo necesitaba pero para ver si picaba le he preguntado y listo papeles tengo la captura de pantalla en la que me dice que le indique el nuevo password........puto facebook todos con el culo al aire

Hola Hail, pues para informar a facebook de un fallo, encontré el siguiente enlace, lo que si aclarar es que allí esta todo en ingles, incluso tienes que informar del fallo en ingles, para que se de una respuesta lo mas rapida posible.

https://www.facebook.com/whitehat/report/

PD: me ha dado miedo entrar en mi facebook, sabiendo del fallo que has encontrado.. xD

he probado con siete de mis contactos y con uno que ni tengo en mis contactos y no falla uno y ya se porque se produce esa vulnerabilidad y como corregirla, en el momento que lo haces sabes porque se produce y como corregirlo... y les he dejado un comentario en la pagina de privacidad en ingles para que se pongan en contacto conmigo por facebook y les explico lo que pasa...

hail no sé de qué va el fallo de seguridad que has descubierto, pero ten en cuenta lo siguiente:


Exclusions
The following bugs aren't eligible for a bounty (and we don't recommend testing for these):

*
Security bugs in third-party applications (e.g., http://apps.facebook.com/[app_name])
*
Security bugs in third-party websites that integrate with Facebook
*
Security bugs in Facebook's corporate infrastructure
*
Denial of Service Vulnerabilities
*
Spam or Social Engineering techniques

Ten presente el último punto antes de reportar el bug, ¿no será lo que me imagino no?, ¿No tendrá que ver con usar 3 cuentas de facebook simultáneas verdad? :)

Un saludo.

hail no sé de qué va el fallo de seguridad que has descubierto, pero ten en cuenta lo siguiente:



Ten presente el último punto antes de reportar el bug, ¿no será lo que me imagino no?, ¿No tendrá que ver con usar 3 cuentas de facebook simultáneas verdad? :)

Un saludo.

no tio es increible esto ayer un amigo me pregunto para hacerlo con una mexicana que su marido ella pensaba que le estaba poniendo los cuernos y el lo hizo le explique como y le dije que no lo usara nunca mas y que por dios no lo difundiera y 5 minutos despues tenia la cuenta del tio, no tiene nada que ver no necesito tener mas de una cuenta para poder hacerlo y es la vulnerabilidad y el fallo de seguridad mas gordo que he visto en mi vida, por este motivo la gente dejaria de usar facebook, es increible tio y les he dicho que si quieren saber que pasa y como corregirlo tendran que remunerar mi labor de investigacion de alguna manera que por la cara no se lo pienso dar prefiero difundirlo en internet y crear en kaos en facebook

no tio es increible esto ayer un amigo me pregunto para hacerlo con una mexicana que su marido ella pensaba que le estaba poniendo los cuernos y el lo hizo le explique como y le dije que no lo usara nunca mas y que por dios no lo difundiera y 5 minutos despues tenia la cuenta del tio, no tiene nada que ver no necesito tener mas de una cuenta para poder hacerlo y es la vulnerabilidad y el fallo de seguridad mas gordo que he visto en mi vida, por este motivo la gente dejaria de usar facebook, es increible tio y les he dicho que si quieren saber que pasa y como corregirlo tendran que remunerar mi labor de investigacion de alguna manera que por la cara no se lo pienso dar prefiero difundirlo en internet y crear en kaos en facebook

Por cierto el marido le ponia los cuernos y se van a divorciar usease imaginate el alcance de esto, y yo no he tenido que hacer ingenieria social para poder llegar a quedarme con ninguna de las cuentas.....

Por cierto el marido le ponia los cuernos y se van a divorciar usease imaginate el alcance de esto, y yo no he tenido que hacer ingenieria social para poder llegar a quedarme con ninguna de las cuentas.....

Por cierto si quieres y en privado dime como, te enseño de que va esto y como se hace esto porque confio en que no vas a difundirlo y en ultima instancia esta claro que lo he descubierto yo, asi es que sin problema cuando quieras y en privado dime como y te explico de que va esto y como y porque se da esta vulnerabilidad...

hystd como ves y como te he explicado en mensaje privado es tan sencillo que asusta y desde luego es la cagada y el fallo de seguridad mas gordo qeu he visto en mi vida, yo ya llevo un puñado de amigos que he probado y en todos he sacado como quitarles la cuenta...
yo se la he sacado hoy a un colega que es policia en madrid os imaginais que podria hacer, el tiene a todos sus compañeros de trabajo en su facebook usease que entro con su cuenta y empiezo a preguntarles en que casos estan y si de quien van detras y demas y ala puerta abierta a la informacion de casos que estan llevando la policia nacional.........el pobre se ha quedado loco cuando ha visto que de la forma mas sencilla del mundo y en menos de cinco minutos tenia su cuenta en mis manos.....lo que no entiendo es como nadie se ha dado cuenta antes de esto porque desde luego no tiene dificultad ninguna hasta un niño de 10 años podria hacerlo.....quiza el articulo que he creado tendria que llamarse estamos vendidos como putas por facebook........si soy el dueño de facebook despido a todo el equipo de seguridad por inutiles, desde luego cuando se sepa esto facebook va a dejar de ser lo que era por culpa de sus fallos de seguridad....

Si lo reportas no te harán caso, ese "fallo" por llamarlo así, pues en realidad no lo es, está excluido por ser de ingeniería social. Te contesto en privado, y si lo decides, lo haces público, pues te adelanto que eso ya se hizo notar hace tiempo, y es justo lo que te comentaba de las 3 cuentas simultáneas.

Un saludo.

quito este post porque no pienso dar ni un punto de referencia.

hey!!! yo ya quiero saber de ese fallo.. jajaja no mentira.. pero si tengo una duda..
Hail tu dices que para vulnerar la cuenta tienes que saber informacion, que si bien es bastante facil de obtener, la necesitas. Entonces en toeria si tengo una cuenta unica para ingresar a facebook y no se la digo a nadie, es decir, nadie conoce el usuario con el que ingreso a facebook, entonces mi cuenta estaria a salvo de la vulnerabilidad que tu has encontrado o me equivoco???...

Saludos

a ver la unica manera y creeme es no teniendo en tu facebook el email con el que conectas si en tu info esta tu email estas perdido.....y por supuesto no comentandole a nadie nunca cual es tu email con el que conectas, el problema es qeu los que tengan la cuenta desde hace tiempo lo pusieron y aparece porque era obligatorio al crearla y ahi es donde millones de usuarios de facebook estamos vendidos yo entre ellos y lo peor es que no puedes quitarlo segun me han comentado le he dicho a un colega quitalo y me ha dicho no puedo no me deja......

hail yo no soy nadie para decir si lo publicas o no! Tú me lo has contado, y pedías que no dijera nada y así lo he hecho. De hecho es justo lo que te comentaba de las 3 cuentas simultáneas...

Si deseas compartir ese "defecto" porque eso es únicamente lo que es, hazlo!. Para nada es un "fallo" (Ver diferencias entre fallo y defecto).

Como ya te dije, se basa en ingeniería social, y por ello facebook no te remunerará con los 500$ que dicen, y tal y como yo lo veo, dudo que vayan a buscar alternativas jejeje.

Por cierto facebook también es vulnerable a un MITM (Man In The Middle), pero vaya, también está en la lista de posibles bugs "excluidos". Es como ir de pesca... tu estás en el curro, la universidad, el instituto o lo que sea, sueltas tu "ataque pasivo", y a esperar que la gente inicie sesión en su cuenta. Asi que cuidado de dónde nos conectamos al facebook.

También es vulnerable a un phishing... muy fácil de implementar con un proxy.

Por cierto cuando lo publiques, esto se llenará de lammers... Este hilo es portador de una bandera que pone: "WARNING".

Un saludo.

hail yo no soy nadie para decir si lo publicas o no! Tú me lo has contado, y pedías que no dijera nada y así lo he hecho. De hecho es justo lo que te comentaba de las 3 cuentas simultáneas...

Si deseas compartir ese "defecto" porque eso es únicamente lo que es, hazlo!. Para nada es un "fallo" (Ver diferencias entre fallo y defecto).

Como ya te dije, se basa en ingeniería social, y por ello facebook no te remunerará con los 500$ que dicen, y tal y como yo lo veo, dudo que vayan a buscar alternativas jejeje.

Por cierto facebook también es vulnerable a un MITM (Man In The Middle), pero vaya, también está en la lista de posibles bugs "excluidos". Es como ir de pesca... tu estás en el curro, la universidad, el instituto o lo que sea, sueltas tu "ataque pasivo", y a esperar que la gente inicie sesión en su cuenta. Asi que cuidado de dónde nos conectamos al facebook.

Por cierto cuando lo publiques, esto se llenará de lammers... Este hilo es portador de una bandera que pone: "WARNING".

Un saludo.
pues no lo voy a publicar porque creo que podria generar un kaos y llenar esto de lammers seria faltaros al respeto y sois mis amigos desde hace muchos años y no pienso llenar esto de lammers seria como escupirme y escupiros a todos y como digo sois mis amigos y no pienso hacerlo

Ok, respeto tu decisión. :)

Un saludo.

Yo estoy a favor de no publicarlo, no utilizo las redes sociales por asuntos evidentes de privacidad y pensamientos personales, por eso no tengo idea del funcionamiento de estas, pero pienso que toda la información para llevar a cabo el robo de cuentas, ya sea a modo de enseñar algún tipo de truco para engañar o este sea una vulnerabilidad de seguridad seria, se vería por mi parte con malos ojos.

Ahora despues esta la libertad individual de cada uno, u otros motivos como puede ser el interés la antipatía o a saber que mas, que llevan a cada uno hacer lo que le plazca, total estamos en internet esta gran anarquía, por la que siento gran aprecio.

Totalmente de acuerdo con Hystd y chewarrior en lo de no publicarlo, ni aquí ni en ningún otro lugar de internet. Porque primero que nada se llenaría solo de lammers como bien dicen ellos y a más de eso, como Hystd dice que facebook poco o nada hará para resolver el problema, entonces publicando tu método de vulnerar, lo único que harías es dejar en descubierto la info de muchas personas y me incluyo.

PD: Y aclarar, hasta donde yo sé el mail con el que conectas a facebook si se puede dejar no visible para el publico en general.

Saludos

La decision es tuya, hail, pero como mis compañeros, veo mejor no publicarlo y esperar una contestacion por parte de Facebook.
Si tengo un un rato luego te mando un privado, y lo probamos en varios perfiles diferentes (llevo 5 o 6 empresas en perfiles de todo tipo y quiero ver el alcance del daño, me preocupa seriamente....)

Si es más para que notes la fuerza con la que va a llamar a los lammers la atencion de esto, sera que los proximos dias tu cuenta sera bonbardeada con mensajes privados pidiendote que les ayudes con cualquier pretexto a entrar a la cuenta de alguien más.

Saludos

clarinetista ya sabes qeu cuentas conmigo para lo que necesites jonna a ver yo lo he intentado y no me deja ocultar mi email lo mismo tengo que mirarme mejor la privacidad y ponerla mas restrictiva pero vamos la verdad que me da igual al que me la hiciera iria a por el a muerte y seria facil volver a recuperar la cuenta jajajajaja.......luego a luego lo dejo asi.....y no preocuparos qeu si empiezan a bombardearme con mensajes privados van a tener las mismas me cuenten lo que me cuenten, por otro lado es como decis, facebook no piensa hacer nada al respecto cosa qeu me parece muy heavy porque la solucion a esto es muy facil simplemente con poner obligatorio un segundo mail en la creacion de la cuenta en facebook y eliminar este defecto quedaria todo perfectamente.....por otro lado veremos a ver si no puedo obligarles a que lo cambien de algun modo que creo que si y seria lo mejor....

Por eso no os preocupéis, creo que el Vbulletin tiene opciones de "ignore" en los mensajes.... :D :D

Investigando, como bien dices hail, no es un defecto en si mismo, sino de la máxima que la barrera principal de seguridad es el usuario, me temo....

Por eso no os preocupéis, creo que el Vbulletin tiene opciones de "ignore" en los mensajes.... :D :D

Investigando, como bien dices hail, no es un defecto en si mismo, sino de la máxima que la barrera principal de seguridad es el usuario, me temo....

Ese es el primer fallo que yo considero tiene, un usuario no puede ser la principal barrera de seguridad, deberia de no ser barrera de seguridad, puesto que la seguridad esta para implementarla, no puede ser que todo dependa de informacion que podria tener cualquiera de mis amigos y que de echo la tienen, y cuando menos si se trata de tu mujer o tu novia.......por otro lado tampoco veo normal que se pueda realizar el proceso de las tres cuentas, esto es una opcion que no deberia de existir puesto que implica un fallo grave en la seguridad y todo creo yo por ser unos gandules y no querer realizar su trabajo....

ellos dicen que esto que encontre es ingenieria social y yo digo que la principal seguridad de una cuenta de facebook no puede depender del usuario en su totalidad puesto que la mayor parte de usuarios de facebook ni son informaticos ni tienes conocimientos de informatica, la seguridad informatica esta para implementarla no para delegarla en los usuarios como ultimo recurso....y todo por dar accesibilidad y funcionalidad extra para ellos trabajar lo minimo posible, y lo peor es que ellos dicen esto pero por otro lado en las nuevas cuentas que se crean este fallo gordisimo de seguridad lo han corregido......... al final sabeis que pasa que no quieren reconocer que la cagaron muy gordamente y que decirlo implicaria que se perdiera la confianza en la privacidad que supuestamente un usuario tiene al crear una cuenta en facebook.

jonna a ver yo lo he intentado y no me deja ocultar mi email lo mismo tengo que mirarme mejor la privacidad y ponerla mas restrictiva [...] obligatorio un segundo mail en la creacion de la cuenta en facebook y eliminar este defecto quedaria todo perfectamente.....

Bueno ya me confundi porque yo si puedo ocultar mi email, o estas refiriendote a el nombre de usuario que esta asociado a facebook (ejemplo: http://www.facebook.com/nombredeejmplo) o para mejor hacer te envio por privado en el que te comento un favor con el que espero me puedas ayudar, ojo aclarar no quiero q me digas sobre el fallo, sino ayudar a a proteger mi cuenta. Y por otro lado yo tengo asociada a la cuenta de facebook dos correos electronicos uno de hotmail y otro d gmail con eso esta a salvo de la vulnerabilidad tuya? o no?

Saludos

no tio porque da igual uno de los dos es con el que inicias sesion asi que simplemente es ver con cual de los dos...y he vuelto a mirarlo y cuando creas la cuenta al parecer los que la creamos hace años no nos permite ocultar el mail o por lo menos por mas vueltas que le doy no me permite en mi cuenta ocultarlo

No sé yo si lo que digo es cierto, pero si tu lo que encuentras es la contraseña del usuario, y nadamas que te hace falta el mail para darle login al facebook, tambien puedes dar login con si nombre, por ejemplo, si yo como nombre de facebook tengo Juan Pepito, i mi correo es juanpe@hotmail etc. , puedo acceder como juanpe@hotm... o puedo acceder como Juan Pepito.

Ya no regreso hail :(, que miedo, recuerda "Un gran poder conlleva una gran responsabilidad"

Eso es imposible!…yo lo he intentado alguna vez, soys unos fantasmillas….

Eso es imposible!…yo lo he intentado alguna vez, soys unos fantasmillas….
Bienvenido al foro, y antes de faltar el respeto a nadie, informate, ese bug como otros tantos, fue reportado a Facebook y reparado posteriormente.

Ya no regreso hail , que miedo, recuerda "Un gran poder conlleva una gran responsabilidad"
Hail esta hasta arriba de trabajo, que tal y como esta el panorama, no estamos para dejarlo....