Investigador fue recompensando por el programa de recompensas de errores.
El investigador de seguridad indio Arun Sureshkumar ha encontrado una vulnerabilidad en Facebook que permite hackear cualquier Página de Facebook.
La vulnerabilidad permite tomar la página con autorización de administrador y puede realizar operaciones críticas tales como la eliminación de la misma.
De acuerdo con Owasp, la vulnerabilidad Insecure Direct Object References se produce cuando una aplicación proporciona acceso directo a los objetos basados en datos facilitados por el usuario. Esto conlleva a que los atacantes pasen por alto cualquier autorización.
Lo primero y necesario es contar con Facebook Business Manager, que es una herramienta segura para administrar el acceso a las páginas y cuentas publicitarias.
Arun utilizó su propia cuenta de Business Manager (ID-907970555981524) y, para probar el hack, se propuso adquirir los derechos de administrador de la página de facebook llamada «FbPage Hacking» con ID-991079870975788.
A través de una herramienta como Burp Suite para intersectar la solicitud de «reclamar» la página «FbPage Hacking» como administrador, se puede cambiar algunos parámetros necesarios como parent_business_id, agency_id, asset_id y lo más importante el rol de administrador (role=MANAGER), y lograr conseguir el acceso. El vídeo se presenta a continuación.
Después de cambiar los parámetros se vuelve a enviar la solicitud. La solicitud se envia correctamente. La página de Facebook agrega a Business Manager del atacante con el permiso de Administrador (Manager). Luego de ser añadido por la explotación se puede navegar por la página de Facebook hackeada.
Arun informó el 29 de Agosto del 2016 al equipo de seguridad de Facebook y Facebook ha parcheado la vulnerabilidad el 6 de septiembre. El 16 de septiembre, el equipo de seguridad de Facebook lo recompensó con $16.000 como parte del programa de recompensas de errores.
► Facebook Page Takeover – Zero Day Vulnerability
1 comentario
Solo 16 mil? Q miserables..