Autor Tema: Facebook, reseteo de contraseñas sin hacer login  (Leído 10616 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado WHK

  • 吴阿卡
  • Administrador
  • Aportador
  • *****
  • Mensajes: 555
  • Karma: +15/-3
  • Coder
    • Yahoo Instant Messenger - yan_uniko_102
    • Ver Perfil
    • WHK
    • Email
Facebook, reseteo de contraseñas sin hacer login
« : enero 09, 2013, 04:13:39 pm »
Hace poco mi compadre _84kur10_ me comentaba sobre la última falla de seguridad en facebook la cual permite a cualquier persona resetear la contraseña de cualquier otra sin la necesidad de tener el acceso a ella.

En pocas palabras, hasta hace pocos minutos o dias era posible que cualquier persona entrara a tu cuenta de facebook siguiendo tres simples pasos sin la necesidad de saber tu contraseña (será que facebook se está convirtiendo en el nuevo fotolog de la inseguridad para los usuarios?).

Dandole un vistazo al post intentaré traducirlo al español:




Descripción

Siembre Ching Shiong, un investigador independiente ha descubierto una vulnerabilidad de restablecimiento de contraseñas en www.facebook.com, que puede ser aprovechado por un atacante para eludir ciertas restricciones de seguridad.

En circunstancias normales, un usuario autenticado Facebook está obligado a entrar con su contraseña actual en la página de cambio de contraseña para evitar que personas no autorizadas cambien la contraseña sin el conocimiento del usuario.

Sin embargo, un atacante puede cambiar/restablecer la contraseña de un usuario sin saber la contraseña actual de el al acceder a esta URL directamente: https://www.facebook.com/hacked.

Después de eso, la página será redirigido a https://www.facebook.com/checkpoint/checkpointme?f=[ID de usuario]&r=web_hacked

Ahora, el atacante puede hacer clic en "Continuar" para cambiar/restablecer la contraseña.

Prueba de concepto
Paso 1: Inicie sesión en Facebook y accede a esta URL directamente: https://www.facebook.com/hacked. La página será redirigido a https://www.facebook.com/checkpoint/checkpointme?f=[ID de usuario atacado]&r=web_hacked




Paso 2: Haga clic en "Continuar" para continuar




Paso 3: Ingrese "New Password" y "Confirm Password" para cambiar/restablecer la contraseña.




Conclusión

Esta vulnerabilidad ha sido confirmada y parcheada por equipo de seguridad de Facebook. Me gustaría darles las gracias por su rápida respuesta a mi informe.

Facebook White Hat
https://www.facebook.com/whitehat



Fuente: http://chingshiong.blogspot.in/2013/01/facebook-bug-4-password-reset.html
Saludos.
« Última Modificación: enero 09, 2013, 04:15:30 pm por WHK »
Mi WEB - The Hacktivism is not a crime - Si no lo hago yo, que lo hagan otros -
Si has encontrado útil este articulo recuerda que puedes ayudarnos con tu donación voluntaria la cual ayudará al staff y a la mantención del foro.


. . . . . . . .