Hacked το Facebook και μάλιστα δύο φορές

Ένας ερευνητής ασφαλείας που συνηθίζει να κυνηγάει bug bounty κατάφερε να παραβιάσει τον διακομιστή του προσωπικού του μέσα από μια ανασφαλή file-sharing webapp και ανακάλυψε ότι κάποιος άλλος ήταν ήδη εκεί. Μάλιστα ο “άλλος” είχε εγκαταστήσει κακόβουλο λογισμικό και σύλλεγε δεδομένα από το προσωπικό του μεγαλύτερου κοινωνικού δικτύου. black facebook

Ο ερευνητής ( tester) Orange Tsai, ο οποίος εργάζεται στην εταιρεία της Ταϊβάν Devcore, κατάφερε να εισπράξει 10.000 δολάρια από το Facebook το Φεβρουάριο μετά από μια επιτυχή διείσδυση στο ευάλωτο σύστημα.

Σε μια δημοσίευση αυτή την εβδομάδα, ο ερευνητής περιγράφει πώς κατάφερε να παραβιάσει τον διακομιστή της εταιρείας και πως σκόνταψε πάνω στο κακόβουλο λογισμικό που είχε εγκατασταθεί από κάποιον άλλο που έκλεβε usernames και passwords των εργαζομένων του FB. Τα διαπιστευτήρια σύνδεσης συλλέγονταν σε έναν εξωτερικό υπολογιστή.

Σύμφωνα με τον ερευνητή δεν διέρρευσαν πληροφορίες χρηστών.

Ας δούμε τα βήματα του ερευνητή:

Με Googling άρχισε να συλλέγει IP ranges του Facebook. Έτσι ο Orange ανακάλυψε το .fb.com.
Η ιστοσελίδα αυτή τρέχει μια web-based “ασφαλή” υπηρεσία μεταφοράς της Accellion.
Αυτή webapp είχε παλαιότερα μια ευπάθεια που επέτρεπε απομακρυσμένη εκτέλεση κώδικα, και έτσι ο Orange άρχισε να αναζητά παρόμοια σφάλματα στο λογισμικό.
Ο ερευνητής διαπίστωσε, ότι μεταξύ άλλων σφαλμάτων, υπήρχε και ένα που επέτρεπε injection κάτι που θα του επέτρεπε να τρέξει κώδικα από απόσταση. Η Accellion έκτοτε έχει κυκλοφορήσει patch που κλείνουν τέσσερα κενά ασφαλείας (CVE-2016-2350 και CVE-2016-2353).
Έχοντας αξιοποιηθεί ένα κλασικό σφάλμα που επέτρεπε SQL injection κατάφερε να εγκαταστήσει ένα webshell και να αποκτήσει τον έλεγχο του συστήματος.

  Πωλητική Απορρήτου

Τότε ο Orange ανακάλυψε μερικά PHP scripts που έκλεβαν τα ονόματα χρηστών και τους κωδικούς πρόσβασης των εργαζομένων στο Facebook, που είχαν πρόσβαση στο files.fb.com. Τα ονόματα και οι κωδικοί αυτοί θα μπορούσαν να έχουν χρησιμοποιηθεί για πρόσβαση και σε άλλες σελίδες Facebοok.
Τα κακόβουλα scripts χρησιμοποιήθηκαν κάποια στιγμή τον Ιούλιο και τον Σεπτέμβριο του περασμένου έτους.

Σύμφωνα με τον τεχνικό ασφαλείας του Facebook, κ. Reginaldo Silva, το κακόβουλο λογισμικό που “τραβούσε” τα ονόματα και τους κωδικούς πρόσβασης, είχε εγκατασταθεί από κάποιον άλλο ερευνητή ασφαλείας ο οποίος προσπαθούσε επίσης να κερδίσει κάποιο χρηματικό έπαθλο παραβιάζοντας το Facebook.

“Είμαστε πραγματικά ευτυχείς που ο Orange ανέφερε την παραβίαση. Στην περίπτωση αυτή, το λογισμικό το χρησιμοποιούσε κάποιος τρίτος. Καθώς δεν είχαμε τον πλήρη έλεγχο του, προσπαθήσαμε να το απομονώσουμε από τα συστήματα που φιλοξενούν δεδομένα των χρηστών του Facebook” δήλωσε ο Silva.

“Διαπιστώσαμε ότι η δραστηριότητα που ανιχνεύθηκε από τον Orange ήταν στην πραγματικότητα από κάποιον άλλο ερευνητή που συμμετείχε στο πρόγραμμα. Κανένας από αυτούς δεν ήταν σε θέση να θέσει σε κίνδυνο άλλα τμήματα της υποδομής μας. Όμως είναι μια διπλή νίκη:

“Δύο ικανοί ερευνητές αξιολογούν το σύστημα, ένας από αυτούς ανέφερε τι βρήκε και πήρε ένα καλό μπόνους, κανένας από αυτούς όμως δεν ήταν σε θέση να κλιμακώσει την πρόσβαση.”

How I Hacked Facebook

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).