Come hackerare e proteggere un account Facebook
Questa è forse la domanda più frequentemente ricercata su Internet oggi. Anche se la soluzione è difficile da trovare, un white hat hacker ha appena dimostrato quanto sia facile hackerare più account di Facebook con alcune competenze informatiche di base.
Ricorda.”Il tuo account di Facebook può essere violato, non importa quanto sia forte la tua password o quanto misure di sicurezza extra hai preso”.
Gurkirat Singh noto hacker californiano, recentemente ha scoperto un bug nel meccanismo di reimpostazione della password di Facebook che avrebbe potuto dare agli hacker l’accesso completo all’account di Facebook delle vittime, consentendo loro di visualizzare le conversazioni dei messaggi e dati della carta di pagamento, compiere qualsiasi cosa come postare, condividere e chattare.
Lo script di attacco è semplice, anche se l’esecuzione è molto difficile.
Gurkirat ( @GurkiratSpeca ) dice, in realtà la metodo di hacking risiede nel modo in cui Facebook consente di reimpostare la password. Il social network utilizza un algoritmo che genera un codice casuale a 6 cifre – che è 10⁶ = 1.000.000 combinazioni possibili – che non cambia fino a quando viene ‘usato’ (mbasic.facebook.com).
“That could possibly mean that if 1 million people request a password within a short amount of time such that no one uses their code to reset the password, then 1,000,0001 person to request a code will get a passcode that someone from the batch has already been assigned,” spiega Gurkirat in un post sul blog Hackernoon.com.
Come Hackerare più account di Facebook?
Secondo il metodo di Gurkirat: “Facebook IDs making queries to Facebook Graph API” 100.000.000.000.000, dal momento che gli ID di Facebook sono generalmente lunghi 15 cifre, www.facebook.com/ [ID] con un numero di documento di identità valido al posto di [ID].
Una volta entrato, l’URL reindirizzato automaticamente ha cambiato di conseguenza il Facebook ID per il nome utente. In questo modo, in primo luogo, è stato in grado di fare una lista di 2 milioni di nomi utente di Facebook validi .
“Ho segnalato questo errore il 3 maggio 2016, ma Facebook non credeva che tale esecuzione su larga scala sarebbe stata possibile. Volevano la prova”.”Ho cercato di costruire delle infrastrutture per indirizzare un lotto di 2 milioni di utenti di Facebook. Ho poi ri-presentato questo bug, e finalmente sono riusciti a capire che il bug poteva davvero essere un problema per la privacy degli utenti.”
Utilizzando lo script, con centinaia di “proxies” e “random user-agents” avviati automaticamente con le richieste di reimpostazione password per quei 2 milioni di utenti, ciascuno con assegnato un codice di reimpostazione della password “6-digit range”.
Gurkirat poi ha scelto a caso un numero di 6 cifre, cioè 338625, e ha iniziato il processo di reimpostazione della password utilizzando un attacco “Brute Force” puntado lo script su tutti quei nomi utente nella sua lista, con la speranza che il numero che era stato assegnato da Facebook a figurava nella sua lista di 2 milioni di nomi utente che aveva generato.
Facebook patching bug
Anche se Facebook ha patchato il bug dopo essere stato riportato da Gurkirat e lo ho ricompensato con $ 500, Gurkirat ha dubbi sul fatto che la patch sia “abbastanza forte per annullare la vulnerabilità.”
“Non avrei mai immaginato che una società grande come Facebook sarebbe così penalizzata di potenza di calcolo pura. L’efficacia del bug che ho trovato sta proprio in questo”, ha detto Gurkirat ad Hacker News.
“Sono stato informato da parte di Facebook che la patch è stata applicata e che hanno iniziato a chiudere in modo aggressivo ogni indirizzo IP. Dato il gran numero di indirizzi IP che può simulare un flusso di rete globale combinata ad una semplice “ingegneria sociale”, ho ancora qualche dubbio che la patch sia abbastanza forte per annullare la vulnerabilità. “
Tuttavia, Facebook fornisce ulteriori livello e metodi di sicurezza per proteggere il tuo account da attacchi simili.
Ecco come proteggere il vostro account di Facebook:
- Proteggi la tua password:
-
Non usare la password di Facebook in altri canali online.
-
Non condividere mai la tua password. Dovresti essere l’unica persona a conoscenza della tua password.
-
Evita di usare il tuo nome o parole comuni. La password deve essere difficile da indovinare.
-
- Usa Approvazioni Accessi L’approvazione degli accessi è una funzione di sicurezza simile agli avvisi di accesso, ma che prevede un ulteriore passaggio di sicurezza. Se attivi l’approvazione degli accessi, ti sarà richiesto di inserire uno speciale codice di sicurezza ogni volta che provi ad accedere al tuo account Facebook da un nuovo computer, cellulare o browser.
Per attivare l’approvazione degli accessi:
- Accedi alle Impostazioni di protezione.
- Clicca sulla sezione Approvazione degli accessi.
- Spunta la casella e clicca su Salva modifiche.
Dopo aver attivato l’approvazione degli accessi:
-
Se non hai salvato il dispositivo (ad es. il computer) o il browser in uso, ti verrà richiesto di farlo quando attivi l’approvazione degli accessi. In questo modo, non dovrai inserire un codice quando accedi usando uno dei dispositivi o browser riconosciuti. Non cliccare sull’opzione Salva questo browser se usi un computer pubblico (ad es. il computer di una biblioteca).
-
Dobbiamo poter essere in grado di ricordare le informazioni del tuo computer e browser per il tuo prossimo accesso, ma alcune funzioni dei browser non lo consentono. Se hai attivato la navigazione anonima o impostato il browser in modo che cancelli la cronologia ogni volta che viene chiuso, potresti dover inserire il codice a ogni accesso.
- Assicurati che i tuoi account e-mail siano protetti.
- Disconnettiti da Facebook quando usi un computer che condividi con altre persone. Se lo dimentichi, puoi disconnetterti in remoto.
- Esegui un software antivirus sul computer:
- Pensaci bene prima di cliccare su un contenuto o scaricarlo.
- Non aprire e-mail di dubbia provenienza.
- Utilizza il tuo vero nome e non aggiungere mai agli amici delle persone che non conosci realmente.
- Usa sempre una e-mail funzionante ed eventualmente cambia quella che è associata al tuo contatto.