Página 1 de 2 12 ÚltimoÚltimo
Resultados 1 al 20 de 30

Tema: he roto facebook encontrado el fallo de seguridad mas gordo de facebook

  1. #1 he roto facebook encontrado el fallo de seguridad mas gordo de facebook 
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    No se que hacer con esto he encontrado el metodo mas sencillo del mundo no hace falta tener conocimientos avanzados de informatica cualquiera puede hacerlo, por el cual cualquiera que este en la lista de contactos del facebook de otro puede quedarse con la cuenta de facebook del contacto de su lista que quiera, el metodo es super sencillo y sin usar ningun tipo de herramienta, quiero contactar con facebook antes de publicarlo en internet y en este foro en primer lugar porque esto es gordisimo........podrias quedarte con la cuenta de tu mujer de hacienda de cualquiera con el simple hecho de estar en su lista de contactos, asi podrias coger quedarte incluso la cuenta de entidades publicas del banco y cambiar la info que tienen y poner por ejemplo hoy regalamos 1000 euros a todos los que acudan a nuestras oficinas del banco y nos indiquen han visto este mensaje y colapsar todas las oficinas de un banco en toda españa durante dias.......de verdad esto es asi y ademas un amigo me ha confirmado que ha realizado el proceso con la cuenta de su mujer con consentimiento a modo de verificacion y es correcto funciona perfectamente.... tengo pruebas se ha realizado tengo capturas de pantalla del proceso y todo por todo..... espero que lluk y clarinetista me indiqueis que debo hacer.....yo creo qeu lo correcto seria informar a facebook en primer lugar para que corrijan este tremendo fallo puesto que no hay cuenta en el mundo que no este comprometida...... esto es muy gordo señores muy muy gordo.....
    Citar  
     

  2. #2  
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    en las cuentas en abierto sin problema en las cuentas con seguridad con una informacion super basica que podrias incluso preguntar a tu victima o incluso saberla si es tu mujer amigo novia...tambien se puede.........
    Citar  
     

  3. #3  
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    ahora para las de entidades empresas y demas solo necesito saber los emails con los que acceden para usuario con cuentas personales esta ya listo de papeles y funciona.....joooooder acabo de preguntar a uno de mis contactos esa info que digo que es tan basica y es que en este caso ni lo necesitaba pero para ver si picaba le he preguntado y listo papeles tengo la captura de pantalla en la que me dice que le indique el nuevo password........puto facebook todos con el culo al aire
    Última edición por hail; 28-03-2012 a las 16:51
    Citar  
     

  4. #4  
    Medio
    Fecha de ingreso
    Jul 2009
    Ubicación
    En un (.) de Ecuador
    Mensajes
    97
    Descargas
    7
    Uploads
    0
    Hola Hail, pues para informar a facebook de un fallo, encontré el siguiente enlace, lo que si aclarar es que allí esta todo en ingles, incluso tienes que informar del fallo en ingles, para que se de una respuesta lo mas rapida posible.

    https://www.facebook.com/whitehat/report/

    PD: me ha dado miedo entrar en mi facebook, sabiendo del fallo que has encontrado.. xD
    !!!Es maravilloso el saber!!!

    Pero prefiero saber un poco del todo, que todo solo de un poco.
    Citar  
     

  5. #5  
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    he probado con siete de mis contactos y con uno que ni tengo en mis contactos y no falla uno y ya se porque se produce esa vulnerabilidad y como corregirla, en el momento que lo haces sabes porque se produce y como corregirlo... y les he dejado un comentario en la pagina de privacidad en ingles para que se pongan en contacto conmigo por facebook y les explico lo que pasa...
    Citar  
     

  6. #6  
    Moderador Global Avatar de hystd
    Fecha de ingreso
    Jul 2005
    Ubicación
    1, 11, 21, 1211...
    Mensajes
    1.596
    Descargas
    58
    Uploads
    0
    hail no sé de qué va el fallo de seguridad que has descubierto, pero ten en cuenta lo siguiente:

    Exclusions
    The following bugs aren't eligible for a bounty (and we don't recommend testing for these):

    *
    Security bugs in third-party applications (e.g., http://apps.facebook.com/[app_name])
    *
    Security bugs in third-party websites that integrate with Facebook
    *
    Security bugs in Facebook's corporate infrastructure
    *
    Denial of Service Vulnerabilities
    *
    Spam or Social Engineering techniques
    Ten presente el último punto antes de reportar el bug, ¿no será lo que me imagino no?, ¿No tendrá que ver con usar 3 cuentas de facebook simultáneas verdad?

    Un saludo.
    El optimista tiene ideas, el pesimista... excusas

    Citar  
     

  7. #7  
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    Cita Iniciado por hystd Ver mensaje
    hail no sé de qué va el fallo de seguridad que has descubierto, pero ten en cuenta lo siguiente:



    Ten presente el último punto antes de reportar el bug, ¿no será lo que me imagino no?, ¿No tendrá que ver con usar 3 cuentas de facebook simultáneas verdad?

    Un saludo.
    no tio es increible esto ayer un amigo me pregunto para hacerlo con una mexicana que su marido ella pensaba que le estaba poniendo los cuernos y el lo hizo le explique como y le dije que no lo usara nunca mas y que por dios no lo difundiera y 5 minutos despues tenia la cuenta del tio, no tiene nada que ver no necesito tener mas de una cuenta para poder hacerlo y es la vulnerabilidad y el fallo de seguridad mas gordo que he visto en mi vida, por este motivo la gente dejaria de usar facebook, es increible tio y les he dicho que si quieren saber que pasa y como corregirlo tendran que remunerar mi labor de investigacion de alguna manera que por la cara no se lo pienso dar prefiero difundirlo en internet y crear en kaos en facebook
    Citar  
     

  8. #8  
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    Cita Iniciado por hail Ver mensaje
    no tio es increible esto ayer un amigo me pregunto para hacerlo con una mexicana que su marido ella pensaba que le estaba poniendo los cuernos y el lo hizo le explique como y le dije que no lo usara nunca mas y que por dios no lo difundiera y 5 minutos despues tenia la cuenta del tio, no tiene nada que ver no necesito tener mas de una cuenta para poder hacerlo y es la vulnerabilidad y el fallo de seguridad mas gordo que he visto en mi vida, por este motivo la gente dejaria de usar facebook, es increible tio y les he dicho que si quieren saber que pasa y como corregirlo tendran que remunerar mi labor de investigacion de alguna manera que por la cara no se lo pienso dar prefiero difundirlo en internet y crear en kaos en facebook
    Por cierto el marido le ponia los cuernos y se van a divorciar usease imaginate el alcance de esto, y yo no he tenido que hacer ingenieria social para poder llegar a quedarme con ninguna de las cuentas.....
    Citar  
     

  9. #9  
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    Cita Iniciado por hail Ver mensaje
    Por cierto el marido le ponia los cuernos y se van a divorciar usease imaginate el alcance de esto, y yo no he tenido que hacer ingenieria social para poder llegar a quedarme con ninguna de las cuentas.....
    Por cierto si quieres y en privado dime como, te enseño de que va esto y como se hace esto porque confio en que no vas a difundirlo y en ultima instancia esta claro que lo he descubierto yo, asi es que sin problema cuando quieras y en privado dime como y te explico de que va esto y como y porque se da esta vulnerabilidad...
    Citar  
     

  10. #10  
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    hystd como ves y como te he explicado en mensaje privado es tan sencillo que asusta y desde luego es la cagada y el fallo de seguridad mas gordo qeu he visto en mi vida, yo ya llevo un puñado de amigos que he probado y en todos he sacado como quitarles la cuenta...
    yo se la he sacado hoy a un colega que es policia en madrid os imaginais que podria hacer, el tiene a todos sus compañeros de trabajo en su facebook usease que entro con su cuenta y empiezo a preguntarles en que casos estan y si de quien van detras y demas y ala puerta abierta a la informacion de casos que estan llevando la policia nacional.........el pobre se ha quedado loco cuando ha visto que de la forma mas sencilla del mundo y en menos de cinco minutos tenia su cuenta en mis manos.....lo que no entiendo es como nadie se ha dado cuenta antes de esto porque desde luego no tiene dificultad ninguna hasta un niño de 10 años podria hacerlo.....quiza el articulo que he creado tendria que llamarse estamos vendidos como putas por facebook........si soy el dueño de facebook despido a todo el equipo de seguridad por inutiles, desde luego cuando se sepa esto facebook va a dejar de ser lo que era por culpa de sus fallos de seguridad....
    Última edición por hail; 29-03-2012 a las 20:22
    Citar  
     

  11. #11  
    Moderador Global Avatar de hystd
    Fecha de ingreso
    Jul 2005
    Ubicación
    1, 11, 21, 1211...
    Mensajes
    1.596
    Descargas
    58
    Uploads
    0
    Si lo reportas no te harán caso, ese "fallo" por llamarlo así, pues en realidad no lo es, está excluido por ser de ingeniería social. Te contesto en privado, y si lo decides, lo haces público, pues te adelanto que eso ya se hizo notar hace tiempo, y es justo lo que te comentaba de las 3 cuentas simultáneas.

    Un saludo.
    El optimista tiene ideas, el pesimista... excusas

    Citar  
     

  12. #12  
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    quito este post porque no pienso dar ni un punto de referencia.
    Última edición por hail; 30-03-2012 a las 00:40
    Citar  
     

  13. #13  
    Medio
    Fecha de ingreso
    Jul 2009
    Ubicación
    En un (.) de Ecuador
    Mensajes
    97
    Descargas
    7
    Uploads
    0
    hey!!! yo ya quiero saber de ese fallo.. jajaja no mentira.. pero si tengo una duda..
    Hail tu dices que para vulnerar la cuenta tienes que saber informacion, que si bien es bastante facil de obtener, la necesitas. Entonces en toeria si tengo una cuenta unica para ingresar a facebook y no se la digo a nadie, es decir, nadie conoce el usuario con el que ingreso a facebook, entonces mi cuenta estaria a salvo de la vulnerabilidad que tu has encontrado o me equivoco???...

    Saludos
    !!!Es maravilloso el saber!!!

    Pero prefiero saber un poco del todo, que todo solo de un poco.
    Citar  
     

  14. #14  
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    a ver la unica manera y creeme es no teniendo en tu facebook el email con el que conectas si en tu info esta tu email estas perdido.....y por supuesto no comentandole a nadie nunca cual es tu email con el que conectas, el problema es qeu los que tengan la cuenta desde hace tiempo lo pusieron y aparece porque era obligatorio al crearla y ahi es donde millones de usuarios de facebook estamos vendidos yo entre ellos y lo peor es que no puedes quitarlo segun me han comentado le he dicho a un colega quitalo y me ha dicho no puedo no me deja......
    Última edición por hail; 29-03-2012 a las 22:38
    Citar  
     

  15. #15  
    Moderador Global Avatar de hystd
    Fecha de ingreso
    Jul 2005
    Ubicación
    1, 11, 21, 1211...
    Mensajes
    1.596
    Descargas
    58
    Uploads
    0
    hail yo no soy nadie para decir si lo publicas o no! Tú me lo has contado, y pedías que no dijera nada y así lo he hecho. De hecho es justo lo que te comentaba de las 3 cuentas simultáneas...

    Si deseas compartir ese "defecto" porque eso es únicamente lo que es, hazlo!. Para nada es un "fallo" (Ver diferencias entre fallo y defecto).

    Como ya te dije, se basa en ingeniería social, y por ello facebook no te remunerará con los 500$ que dicen, y tal y como yo lo veo, dudo que vayan a buscar alternativas jejeje.

    Por cierto facebook también es vulnerable a un MITM (Man In The Middle), pero vaya, también está en la lista de posibles bugs "excluidos". Es como ir de pesca... tu estás en el curro, la universidad, el instituto o lo que sea, sueltas tu "ataque pasivo", y a esperar que la gente inicie sesión en su cuenta. Asi que cuidado de dónde nos conectamos al facebook.

    También es vulnerable a un phishing... muy fácil de implementar con un proxy.

    Por cierto cuando lo publiques, esto se llenará de lammers... Este hilo es portador de una bandera que pone: "WARNING".

    Un saludo.
    Última edición por hystd; 30-03-2012 a las 00:41
    El optimista tiene ideas, el pesimista... excusas

    Citar  
     

  16. #16  
    Avanzado
    Fecha de ingreso
    May 2006
    Ubicación
    Murcia
    Mensajes
    274
    Descargas
    2
    Uploads
    0
    Cita Iniciado por hystd Ver mensaje
    hail yo no soy nadie para decir si lo publicas o no! Tú me lo has contado, y pedías que no dijera nada y así lo he hecho. De hecho es justo lo que te comentaba de las 3 cuentas simultáneas...

    Si deseas compartir ese "defecto" porque eso es únicamente lo que es, hazlo!. Para nada es un "fallo" (Ver diferencias entre fallo y defecto).

    Como ya te dije, se basa en ingeniería social, y por ello facebook no te remunerará con los 500$ que dicen, y tal y como yo lo veo, dudo que vayan a buscar alternativas jejeje.

    Por cierto facebook también es vulnerable a un MITM (Man In The Middle), pero vaya, también está en la lista de posibles bugs "excluidos". Es como ir de pesca... tu estás en el curro, la universidad, el instituto o lo que sea, sueltas tu "ataque pasivo", y a esperar que la gente inicie sesión en su cuenta. Asi que cuidado de dónde nos conectamos al facebook.

    Por cierto cuando lo publiques, esto se llenará de lammers... Este hilo es portador de una bandera que pone: "WARNING".

    Un saludo.
    pues no lo voy a publicar porque creo que podria generar un kaos y llenar esto de lammers seria faltaros al respeto y sois mis amigos desde hace muchos años y no pienso llenar esto de lammers seria como escupirme y escupiros a todos y como digo sois mis amigos y no pienso hacerlo
    Citar  
     

  17. #17  
    Moderador Global Avatar de hystd
    Fecha de ingreso
    Jul 2005
    Ubicación
    1, 11, 21, 1211...
    Mensajes
    1.596
    Descargas
    58
    Uploads
    0
    Ok, respeto tu decisión.

    Un saludo.
    Última edición por hystd; 30-03-2012 a las 00:59
    El optimista tiene ideas, el pesimista... excusas

    Citar  
     

  18. #18  
    Avanzado
    Fecha de ingreso
    Oct 2010
    Mensajes
    401
    Descargas
    24
    Uploads
    0
    Yo estoy a favor de no publicarlo, no utilizo las redes sociales por asuntos evidentes de privacidad y pensamientos personales, por eso no tengo idea del funcionamiento de estas, pero pienso que toda la información para llevar a cabo el robo de cuentas, ya sea a modo de enseñar algún tipo de truco para engañar o este sea una vulnerabilidad de seguridad seria, se vería por mi parte con malos ojos.

    Ahora despues esta la libertad individual de cada uno, u otros motivos como puede ser el interés la antipatía o a saber que mas, que llevan a cada uno hacer lo que le plazca, total estamos en internet esta gran anarquía, por la que siento gran aprecio.
    René Pérez Joglar: Pa' tener a un listo que no dice nada prefiero a un idiota que hable mucho.
    Citar  
     

  19. #19  
    Medio
    Fecha de ingreso
    Jul 2009
    Ubicación
    En un (.) de Ecuador
    Mensajes
    97
    Descargas
    7
    Uploads
    0
    Totalmente de acuerdo con Hystd y chewarrior en lo de no publicarlo, ni aquí ni en ningún otro lugar de internet. Porque primero que nada se llenaría solo de lammers como bien dicen ellos y a más de eso, como Hystd dice que facebook poco o nada hará para resolver el problema, entonces publicando tu método de vulnerar, lo único que harías es dejar en descubierto la info de muchas personas y me incluyo.

    PD: Y aclarar, hasta donde yo sé el mail con el que conectas a facebook si se puede dejar no visible para el publico en general.

    Saludos
    !!!Es maravilloso el saber!!!

    Pero prefiero saber un poco del todo, que todo solo de un poco.
    Citar  
     

  20. #20  
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicación
    HackHispano/SM
    Mensajes
    7.730
    Descargas
    30
    Uploads
    8
    La decision es tuya, hail, pero como mis compañeros, veo mejor no publicarlo y esperar una contestacion por parte de Facebook.
    Si tengo un un rato luego te mando un privado, y lo probamos en varios perfiles diferentes (llevo 5 o 6 empresas en perfiles de todo tipo y quiero ver el alcance del daño, me preocupa seriamente....)
    Citar  
     

Temas similares

  1. ubicación del chat de facebook
    Por Costy en el foro APLICACIONES
    Respuestas: 0
    Último mensaje: 07-11-2013, 14:47
  2. Respuestas: 3
    Último mensaje: 10-07-2012, 12:17
  3. Contraseña Facebook
    Por orosius1000 en el foro GENERAL
    Respuestas: 3
    Último mensaje: 02-04-2012, 01:00
  4. Respuestas: 12
    Último mensaje: 06-04-2011, 00:45
  5. Respuestas: 2
    Último mensaje: 30-12-2009, 17:52

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •