Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Facebook mobilszámok

2012.10.11. 15:11 | _2501 | 3 komment

Dont worry .. Your data is safe with me :P .. Wayyy safer than FB # #

A Facebook nemrég átlépte az 1 milliárd regisztrált felhasználót, amiből 600 millió mobilfelhasználó, Suriya Prakash pedig azt mondja hogy az ő számaikat gyerekjáték ledumpolni. Egy kis ízelítő privatepaste-n, kicsit cenzúrázva. Volt levelezés is a biztonsági csoporttal, akiknek úgy tűnik, hogy elsőre nem jött át hogy mi a para:

phone_security_vulnerability_facebook-520x295.png

A módszer annyi hogy mobilszámokra keresünk, és ha van ilyen a rendszerben, illetve a felhasználó privacy beállításai is megengedik, akkor megkapjuk a felhasználó nevét/egyéb adatait. (http://m.facebook.com/search/?query=123456789) Ordas tahó módszer, de sajnos úgy tűnik hogy működik. Suriya blogjában találtam egy linket egy scriptre amivel meg lehet próbálni splojtálni a sérülékenységet, de nem ajánlott mivel a FB azóta már megreszelte, és 24 órára szögre akasztja a kevésbé fair játékosokat:

Your account has been temporarily suspended. We have detected some suspicious activity coming from this IP. As a security precaution, your account has been temporarily suspended.

Elméletileg... A srác azt mondja a blogjában hogy nem sikerült még kitiltatnia magát...

Vannak tippek hogy hogyan tudjuk megóvni az adatainkat az ilyen támadásoktól, de az ultimate megoldás az, ha nem adjuk meg. Van néhány gondolatom a sztorihoz:

  • A FB default beállítása az hogy bárki utánad tud nézni a telefonszámod és az email címed alapján. Nehéz kérdés, hogy hol kell meghúzni a határvonalat a biztonság és az átlag felhasználók kényelme között... Ha magasan van a léc akkor az átlag user nem tudja majd használni, ha alacsonyan akkor meg jön a kiddo hogy "OMG h4cK3d WTF"... Egy biztos: valaki szopni fog, de az üzlet nem engedi hogy a felhasználó legyen az.
  • Az hogy egy ilyen sügér egy ennyire agyatlan megoldással képes egy ekkorát leakelni az egy dolog, sokan megcsinálták már, sqlmaphoz is elég az 1 IQ pont. De most akkor ez bug, vagy nem bug? Én azt mondom hogy nem bug, hanem feature, de attól még hiba. Ez nem biztos hogy tiszta volt... Hiba például egy SQL injekt. De mivel ez az elvárt működése a keresésnek, ezért nem lehet azt mondani hogy rosszul írták meg. Pontosan azt csinálja amit kitaláltak, hogy csinálnia kell. Arra nem gondoltak, hogy jön egy ilyen kismókus, és ilyen módon fogja felhasználni. Mondhatjuk azt is hogy felvállalt kockázat, de ha reportolás előtt tudatában lettek volna annak hogy erre is felhasználható, akkor talán beleépítettek volna valami korlátozó mechanizmust, nem pedig utána. Hiba. Koncepciós, vagy tervezési hiba. *Szerintem.
  • Biztosan sok-sok ilyen levelet kap naponta a security staff, és mindegyiket komolyan kell venni. Nem nehéz belefásulni, - sajnos tudom - de nem szabad fél vállról venni, mert bár lehet hogy aki reportol egy "bugot", az tényleg egy vadbarom, (és Excelből generálja a telefonszámokat mint ez is) de ha működik a vacka akkor nincs mese. Az én szerény véleményem az hogy jelen esetben a FB securitys arcok nagyon félvállról vették a kis kretént, és ez hiba. Lehet hogy nagy koponya aki a FB-nél a securitys cuccokat intézi, és csuklóból írja hexában a shellkódot arm-ra, és hányingere van már ezektől a láma reportoktól, de a masszív leak tényén nem változtat.

Címkék: facebook leak

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

CommentAllOk · http://commentallok.blog.hu/ 2012.10.11. 23:14:16

Sokan és sok helyen írtak már a Facbookról, hogy nem biztonságos. Nekem az: nem használom. Felőlem akár meg is szűnhetne.

A cikk jó, sőt, az egész blog kiváló. Gratulálok!

Mc Master 2012.10.13. 11:18:19

Jó kis írás. A megjelenéséhez képest eltelt két nap. Most az index is beszámol a hírről. Lol.
index.hu/tech/2012/10/13/sulyos_biztonsagi_rest_talaltak_a_facebookon/

synapse · http://www.synsecblog.com 2012.10.17. 13:36:12

Nem olyan rossz a facebook egyebkent, be lehet allitani relative jol is. Persze aki paranoid az ne hasznalja, ne irjon be mindent, en sem irtam. Ami nalam kicsapta a biztit az az, hogy bevezettek kocsog modon az emberek hata mogott egy uj security opciot olyan default-tal ami botranyos, mert az uzleti erdekuket szolgalta.