Un fallo en el gestor del password reset de Facebook permitía hackear cualquier cuenta por fuerza bruta, un caso que recuerda al del robo de millones de contraseñas de Gmail en 2013.
Si Facebook no le llega a pagar por encontrar la vulnerabilidad, me parece que la mitad de mis compañeros de oficina ya serían fans de la Pantoja y hubieran salido repentinamente del armario.
#10 En realidad solo te llegará uno. El mecanismo es:
- Pides restablecimiento de contraseña.
- Facebook te dice: Has pedido restablecimiento de contraseña, te acabamos de mandar tu código al correo/movil.
- Una aplicacion se pone a decirle a la pagina de facebook: El códgio es 000001, 000002, etc. Al ser hecho por una aplicacion el código de seis dígitos sale en cuestion de segundos. La aplicación cambia tu password y entra en tu cuenta.
Evidentemente tu te darás cuenta si o si:
- El email/sms despertará tus sospechas
- Pero es que sino , la proxima vez que te conectes no vas a poder loggearte porque te han cambiado la password. (y si el tio es rápido, quizas el email de contacto o el movil para que no vuelvas a cambiar tu la contraseña).
- Y aún así, el tio ya ha tenido acceso a todos tus datos privados. A lo mejor para cuando entres tu a cambiarla de nuevo el ya tiene lo que quiere. O ha publicado lo que quiere desde tu cuenta para infectar a tus amigos etc etc...
#12 te vas a morir de asco intentando sacar la mia,la fuerza bruta es lo mas torpe...no os a enseñado nada mr.robot? La ingenieria social te ahorra mucho tiempo y es muchisimo mas efectiva
#15 Tu clave no se usa en ningún momento el agujero es que los intentos de restablecer la contraseña con un código no tienen limite si lo hacías por estos sub dominios: beta.facebook.com y mbasic.beta.facebook.com
#15 Conseguí el teléfono del jefe de departamento de programación de una gran empresa en tres llamadas, sin mentir ni montar historias, además del email y donde toma café etc. Algo que a él le asombró.
Vamos, que no hice ni "ingeniería social" sino que era más bien "retraso intenso del personal".
Y lo de acceder sin contraseña desde enlaces que te envía el sistema de novedades de Facebook por SMS, ¿lo habrán cambiado ya?
Asombrado me quedé cuando al ver que en el teléfono de empresa llegaban esos mensajes de la antigua titular del número y al escribir los enlaces tal cual en el navegador del pc... ¡Tachán! estabas dentro de su facebook sin poner claves ni nada. No me pareció seguro que no pida confirmar la clave y que un simple link te identificase.
PD: quiero mis 15000
#25 Si .... y no. A ver, en realidad lo tenía implementado.. peeero resulta que tenían dos dominios (para probar nuevas features (beta.facebook.com y mbasic.beta.facebook.com,) donde a pesar de poder usarse usuarios reales (comparten base de datos) no tenían ese mecanismo. Así que el resultado para el atacante era el buscado y conseguía cambiar la password de usuarios reales.
#31 O sea que les han entrado por una beta de software que no han bloqueado ni han dejado visible solo en su intranet... no se yo que es peor, si que no lo hayan implementado o haber dejado una beta.. tan beta al descubierto.
aviso para navegantes Esta página web está en una lista de sitios web con reputación incierta o contenido potencialmente no deseable y se ha bloqueado.
por cierto que ya han metido la vulnerabilidad en algun paquete para script kiddies y hasta que se les pase la tonteria es una tortura estar recibiendo SMSs todo el rato.
#23 La mejor manera de encontrar ayuda es buscar algo en google, hacer clic en el primer enlace, y luego, sin leer nada, buscas un formulario de enviar comentarios y allí escribes tu problema y tu mail.
#54 Una beta compartiendo la base de datos real y en producción y la abro así tal cual, no se yo hasta que punto estoy protegiendo las bases de datos de mis usuarios y abro una "beta" que puede acceder a sus datos y modificarlos por que todavia no esta terminada o corregida, grave al menos es al menos que se acceda a la base de datos real desde una beta publica.
#3#5 La fábula del tornillo (aunque no con un ingeniero, sino un "simple" mecánico de coches) fue interpretada por Toni Leblanc en la película "Las chicas de la Cruz Roja", de 1958.
#9 En cuanto a la historia de Steinmetz... yo diría que no hay seguridad de que sea cierta, o que hay serias dudas de que lo sea.
En Snopes.com (el sitio por excelencia dedicado a desmentir o corroborar bulos, leyendas y anécdotas, por si alguien no lo conoce) lo cataloga como "Leyenda".
Ahí dice que la historia aparece con otros nombres de personajes como Tesla y Edison (que, por cierto, ambos eran conocido del señor Steinmetz).
Creo que esto no quiere decir que la historia sea falsa... aunque según el propio Snopes.com una leyenda suele considerarse falsa, como que es mera ficción, tanto por el que la cuenta como por el que la escucha, aunque al contarla la relate como algo que ocurrió en realidad. Sin embargo, el término "leyenda urbana" según Snopes se refiere a una historia con cierta verosimilitud que se cuenta como verdadera (tú mismo, por ejemplo, lo primero que has dicho es que la historia es cierta). Y ser leyenda urbana no implica que sea falsa, a veces casualmente es algo cierto, pero muchísimas veces es algo falso.
Por lo que he visto, la historia de Steinmetz aparece en la revista Life en 1965, en la sección de Cartas al Director, por una carta enviada por un lector diciendo ser hijo de un empleado de Ford (el empleado se llamaba Burt Scott), y que su padre le contó la historia.
Claro, alguno pensará que si eso se publicó en la revista Life seguramente ocurrió... Bueno, que cada uno piense lo que quiera, pero también es cierto que cualquiera puede enviar una historia falsa a una revista y publicársela simplemente porque es una historia simpática y parece aportar algo.
¿La historia es verosímil? La empresa Ford se creó en 1903, sacando el famoso modelo Ford T en 1908 y Steinmetz murió en 1923, a la edad de 58 años. El suceso pudo ocurrir entre 1910 y 1920, y en esa época un empleado llamado Burt Scott pudo estar trabajando allí, y no es imposible que tuviese un hijo que lo contase en 1965. ¿O no? Bueno, en la carta se dice que el suceso ocurrió en la planta de River Rouge, en Michigan. Y esa planta empezó a construirse en 1917... lo cual sólo deja un margen entre 1917… » ver todo el comentario
#59 ¿realizar una petición procesarla y obtener la respuesta teniendo en cuenta el tiempo de transporte por internet solo lleva 10 ms? Muy poco lo veo. No estamos hablando de atacar un ordenador en local.
#60 Siempre y cuando las hagas una por una, una detrás de otra, pero ¿no se pueden hacer varias peticiones simultáneas, incluso desde conexiones diferentes?
#62#63 Sí, y además creo que ni siquiera necesitas programar un software específico, porque hay herramientas de Pruebas de Carga (Stress Test) específicas para probar webs, donde puedes variar un parámetro. Si el parámetro que eliges es el código que supuestamente se envía al móvil... pues ya lo tienes.
Es decir, estos programas están diseñados para cosas como "voy a probar a registrar 1000 usuarios, con nombres de usuario desde test000 a test999" ... y, para eso, si hay parámetro HTTP llamado newuser, pues una petición sería con newuser=test000 ... y así hasta test999
Estos programas permiten hacer esas peticiones HTTP de forma simultánea, no una detrás de otra, porque precisamente el software es para probar qué pasaría cuando se conecte mucha gente a una web.
El número de peticiones simultáneas desde una IP está limitado por el máximo número de sockets TCP (conexiones TCP)... Es decir, tu ordenador, con una IP pública establece muchas conexiones, y cada conexión tendrá unos paquetes que vienen de respuesta, y para distinguir la respuesta de unos y otros se usan unos números, limitados. Sería lo que se llama el número de puerto TCP, en concreto el puerto origen (el puerto destino en HTTP suele ser el 80). Creo que son 16 bits, con números que suelen ser entre 32768 ("10000000 00000000" en binario, o "8000" en hexadecimal ) y 65535 (FF en hexadecimal, 16 unos en binario) o 61000. Los códigos menores se suelen reservar, aunque a veces el límite inferior se pone en 15000. Típicamente, tu ordenador no podría hacer más de 32768 conexiones TCP, como las HTTP, como mucho... bueno, 46000 si pones el límite inferior en 15000. Pero normalmente no se apuraría al límite y pongamos que haces 10000 , te las contestan todas, luego otras 10000 y así. Si tardan en contestar 1 segundo cada tanda, podrías hacer 1 millón de conexiones en 100 tandas, es decir, 100 segundos, que es menos de 2 minutos. Y analizando las respuestas del servidor verías cuál es la clave válida y la respuesta que te dio el servidor en ese caso, y usando eso podrías apoderarte de la cuenta, eligiendo un nuevo password que supuestamente era el que no recordabas.
Aunque supongo que no podría ser tan rápido porque los servidores suelen limitar el número de conexiones simultáneas para cada IP... para evitar ataques DoS (denegación de servicio) y en caso de intentar pirulas de esas, señalan a tu IP como maliciosa y desechan todos los paquetes enviados desde esa IP, sin atenderlos.
Si no pudieses hacerlas simultáneas y se tardase 1 segundo en cada una, serían 1 millón de segundos, que son 278 horas... unos 12 días, máximo, en media serían 6 días. Claro, que si dispones de varias IP públicas se dividiría por el número de ellas que tengas: con 12 IPs públicas sería máximo 1 día (24 horas) y en media 12 horas. De todas formas 2 simultáneas sí que se suelen permitir, lo que reduciría las cifras a la mitad.
#64 Bueno, creo que no habría que analizar siquiera las respuestas del servidor... es decir, podría ser algo tan simple como enviar peticiones HTTP del tipo:
"el código que me llegó es 111111 y quiero que mi password sea 123456"
Y tras finalizar el proceso, una de las peticiones sería atendida y "tu" nuevo password sería el que has elegido.
¡A buenas horas!
Alguna gente solo quiere ver arder el mundo.
La historia es cierta (pero sin tornillo). Se llamaba Charles Proteus Steinmetz.
www.smithsonianmag.com/history/charles-proteus-steinmetz-the-wizard-of
Ya ha salido por aquí varias veces:
www.meneame.net/story/la-factura-de-steinmetz
www.meneame.net/story/marca-tiza-10-000-dolares
- Pides restablecimiento de contraseña.
- Facebook te dice: Has pedido restablecimiento de contraseña, te acabamos de mandar tu código al correo/movil.
- Una aplicacion se pone a decirle a la pagina de facebook: El códgio es 000001, 000002, etc. Al ser hecho por una aplicacion el código de seis dígitos sale en cuestion de segundos. La aplicación cambia tu password y entra en tu cuenta.
Evidentemente tu te darás cuenta si o si:
- El email/sms despertará tus sospechas
- Pero es que sino , la proxima vez que te conectes no vas a poder loggearte porque te han cambiado la password. (y si el tio es rápido, quizas el email de contacto o el movil para que no vuelvas a cambiar tu la contraseña).
- Y aún así, el tio ya ha tenido acceso a todos tus datos privados. A lo mejor para cuando entres tu a cambiarla de nuevo el ya tiene lo que quiere. O ha publicado lo que quiere desde tu cuenta para infectar a tus amigos etc etc...
Tus seis dígitos caeran igual que los de cualquiera, en segundos.
Vamos, que no hice ni "ingeniería social" sino que era más bien "retraso intenso del personal".
Asombrado me quedé cuando al ver que en el teléfono de empresa llegaban esos mensajes de la antigua titular del número y al escribir los enlaces tal cual en el navegador del pc... ¡Tachán! estabas dentro de su facebook sin poner claves ni nada. No me pareció seguro que no pida confirmar la clave y que un simple link te identificase.
PD: quiero mis 15000
P.D: Fixed o fixado, a según qué idioma hables.
6*5*4*3*2*1= 720
#32 6! son las posibles formas de "ordenar" 6 elementos (123456, 213456, 231456, 234156...)
Andamos justitos de matesssss
Se tardaría un buen rato de todas formas.
Aquí se puede ver la escena:
www.youtube.com/watch?v=36lpqRGydOQ&feature=youtu.be
#9 En cuanto a la historia de Steinmetz... yo diría que no hay seguridad de que sea cierta, o que hay serias dudas de que lo sea.
En Snopes.com (el sitio por excelencia dedicado a desmentir o corroborar bulos, leyendas y anécdotas, por si alguien no lo conoce) lo cataloga como "Leyenda".
www.snopes.com/business/genius/where.asp
Ahí dice que la historia aparece con otros nombres de personajes como Tesla y Edison (que, por cierto, ambos eran conocido del señor Steinmetz).
Creo que esto no quiere decir que la historia sea falsa... aunque según el propio Snopes.com una leyenda suele considerarse falsa, como que es mera ficción, tanto por el que la cuenta como por el que la escucha, aunque al contarla la relate como algo que ocurrió en realidad. Sin embargo, el término "leyenda urbana" según Snopes se refiere a una historia con cierta verosimilitud que se cuenta como verdadera (tú mismo, por ejemplo, lo primero que has dicho es que la historia es cierta). Y ser leyenda urbana no implica que sea falsa, a veces casualmente es algo cierto, pero muchísimas veces es algo falso.
Por lo que he visto, la historia de Steinmetz aparece en la revista Life en 1965, en la sección de Cartas al Director, por una carta enviada por un lector diciendo ser hijo de un empleado de Ford (el empleado se llamaba Burt Scott), y que su padre le contó la historia.
Claro, alguno pensará que si eso se publicó en la revista Life seguramente ocurrió... Bueno, que cada uno piense lo que quiera, pero también es cierto que cualquiera puede enviar una historia falsa a una revista y publicársela simplemente porque es una historia simpática y parece aportar algo.
¿La historia es verosímil? La empresa Ford se creó en 1903, sacando el famoso modelo Ford T en 1908 y Steinmetz murió en 1923, a la edad de 58 años. El suceso pudo ocurrir entre 1910 y 1920, y en esa época un empleado llamado Burt Scott pudo estar trabajando allí, y no es imposible que tuviese un hijo que lo contase en 1965. ¿O no? Bueno, en la carta se dice que el suceso ocurrió en la planta de River Rouge, en Michigan. Y esa planta empezó a construirse en 1917... lo cual sólo deja un margen entre 1917… » ver todo el comentario
Aún así, a cien códigos por segundo, son menos de tres horas, no me parece tanto.
Es decir, estos programas están diseñados para cosas como "voy a probar a registrar 1000 usuarios, con nombres de usuario desde test000 a test999" ... y, para eso, si hay parámetro HTTP llamado newuser, pues una petición sería con newuser=test000 ... y así hasta test999
Estos programas permiten hacer esas peticiones HTTP de forma simultánea, no una detrás de otra, porque precisamente el software es para probar qué pasaría cuando se conecte mucha gente a una web.
El número de peticiones simultáneas desde una IP está limitado por el máximo número de sockets TCP (conexiones TCP)... Es decir, tu ordenador, con una IP pública establece muchas conexiones, y cada conexión tendrá unos paquetes que vienen de respuesta, y para distinguir la respuesta de unos y otros se usan unos números, limitados. Sería lo que se llama el número de puerto TCP, en concreto el puerto origen (el puerto destino en HTTP suele ser el 80). Creo que son 16 bits, con números que suelen ser entre 32768 ("10000000 00000000" en binario, o "8000" en hexadecimal ) y 65535 (FF en hexadecimal, 16 unos en binario) o 61000. Los códigos menores se suelen reservar, aunque a veces el límite inferior se pone en 15000. Típicamente, tu ordenador no podría hacer más de 32768 conexiones TCP, como las HTTP, como mucho... bueno, 46000 si pones el límite inferior en 15000. Pero normalmente no se apuraría al límite y pongamos que haces 10000 , te las contestan todas, luego otras 10000 y así. Si tardan en contestar 1 segundo cada tanda, podrías hacer 1 millón de conexiones en 100 tandas, es decir, 100 segundos, que es menos de 2 minutos. Y analizando las respuestas del servidor verías cuál es la clave válida y la respuesta que te dio el servidor en ese caso, y usando eso podrías apoderarte de la cuenta, eligiendo un nuevo password que supuestamente era el que no recordabas.
Aunque supongo que no podría ser tan rápido porque los servidores suelen limitar el número de conexiones simultáneas para cada IP... para evitar ataques DoS (denegación de servicio) y en caso de intentar pirulas de esas, señalan a tu IP como maliciosa y desechan todos los paquetes enviados desde esa IP, sin atenderlos.
Si no pudieses hacerlas simultáneas y se tardase 1 segundo en cada una, serían 1 millón de segundos, que son 278 horas... unos 12 días, máximo, en media serían 6 días. Claro, que si dispones de varias IP públicas se dividiría por el número de ellas que tengas: con 12 IPs públicas sería máximo 1 día (24 horas) y en media 12 horas. De todas formas 2 simultáneas sí que se suelen permitir, lo que reduciría las cifras a la mitad.
"el código que me llegó es 111111 y quiero que mi password sea 123456"
Y tras finalizar el proceso, una de las peticiones sería atendida y "tu" nuevo password sería el que has elegido.