Portada
mis comunidades
otras secciones
#12:
#10 En realidad solo te llegará uno. El mecanismo es:
- Pides restablecimiento de contraseña.
- Facebook te dice: Has pedido restablecimiento de contraseña, te acabamos de mandar tu código al correo/movil.
- Una aplicacion se pone a decirle a la pagina de facebook: El códgio es 000001, 000002, etc. Al ser hecho por una aplicacion el código de seis dígitos sale en cuestion de segundos. La aplicación cambia tu password y entra en tu cuenta.
Evidentemente tu te darás cuenta si o si:
- El email/sms despertará tus sospechas
- Pero es que sino , la proxima vez que te conectes no vas a poder loggearte porque te han cambiado la password. (y si el tio es rápido, quizas el email de contacto o el movil para que no vuelvas a cambiar tu la contraseña).
- Y aún así, el tio ya ha tenido acceso a todos tus datos privados. A lo mejor para cuando entres tu a cambiarla de nuevo el ya tiene lo que quiere. O ha publicado lo que quiere desde tu cuenta para infectar a tus amigos etc etc...
- Pides restablecimiento de contraseña.
- Facebook te dice: Has pedido restablecimiento de contraseña, te acabamos de mandar tu código al correo/movil.
- Una aplicacion se pone a decirle a la pagina de facebook: El códgio es 000001, 000002, etc. Al ser hecho por una aplicacion el código de seis dígitos sale en cuestion de segundos. La aplicación cambia tu password y entra en tu cuenta.
Evidentemente tu te darás cuenta si o si:
- El email/sms despertará tus sospechas
- Pero es que sino , la proxima vez que te conectes no vas a poder loggearte porque te han cambiado la password. (y si el tio es rápido, quizas el email de contacto o el movil para que no vuelvas a cambiar tu la contraseña).
- Y aún así, el tio ya ha tenido acceso a todos tus datos privados. A lo mejor para cuando entres tu a cambiarla de nuevo el ya tiene lo que quiere. O ha publicado lo que quiere desde tu cuenta para infectar a tus amigos etc etc...
#2:
Así se podía hackear cualquier cuenta de Facebook hasta hace días
¡A buenas horas!
¡A buenas horas!
#9:
#3 #5
La historia es cierta (pero sin tornillo). Se llamaba Charles Proteus Steinmetz.
http://www.smithsonianmag.com/history/charles-proteus-steinmetz-the-wizard-of-schenectady-51912022/?no-ist
Ya ha salido por aquí varias veces:
La factura de Steinmetz
Una marca de tiza de 10.000 dólares
La historia es cierta (pero sin tornillo). Se llamaba Charles Proteus Steinmetz.
http://www.smithsonianmag.com/history/charles-proteus-steinmetz-the-wizard-of-schenectady-51912022/?no-ist
Ya ha salido por aquí varias veces:
La factura de Steinmetz
Publicado hace 17 años por
mezvan
a
anfrix.com
Una marca de tiza de 10.000 dólares
Publicado hace 11 años por
disconubes
a
alpoma.net
#1:
15.000 $ están muy bien solo por comprobar que la beta de facebook no bloqueaba los ataques de fuerza bruta.
#4:
Si Facebook no le llega a pagar por encontrar la vulnerabilidad, me parece que la mitad de mis compañeros de oficina ya serían fans de la Pantoja y hubieran salido repentinamente del armario.
Comentarios
#15 A ver, que es fuerza bruta sobre un código de 6 dígitos que enviaba facebook si pedias reestablecer la contraseña. No es la contraseña en si.
Tus seis dígitos caeran igual que los de cualquiera, en segundos.
#20 #19 #17 gracias por la aclaración
#17 hombre, una combinación de 6 dígitos salen unas 700 y pico posibles claves. Un poco fatigoso por fuerza bruta.
6*5*4*3*2*1= 720
#32 Sí, un ordenador acaba exhausto tras probar 720 claves posibles.
#32 veo que has andas mal de mates 6 dígitos son 999999 combinaciones.
#38 +1 (1.000.000)
#32 6! son las posibles formas de "ordenar" 6 elementos (123456, 213456, 231456, 234156...)
#42 se me olvidó el 0
#44 #38 jajaja es verdad que cagada jajaja
#32 ein?
#32 Seis dígitos. Un millón de números. Un ordenador viejuno ni se despeina.
#32 a elegir entre 10: 10*10*10*10*10*10=1000000
Andamos justitos de matesssss
#32 no serán 999.999 posibles combinaciones? Eso sí solo son cifras, si también hay otros caracteres, lo cual desconozco, el número se dispara.
Se tardaría un buen rato de todas formas.
#51 eso pienso yo. Fácil no es.
#51 Son una más: 1.000.000
Aún así, a cien códigos por segundo, son menos de tres horas, no me parece tanto.
#59 ¿realizar una petición procesarla y obtener la respuesta teniendo en cuenta el tiempo de transporte por internet solo lleva 10 ms? Muy poco lo veo. No estamos hablando de atacar un ordenador en local.
#60 Siempre y cuando las hagas una por una, una detrás de otra, pero ¿no se pueden hacer varias peticiones simultáneas, incluso desde conexiones diferentes?
#62 pues eso no se me había ocurrido ves. Si, se podría hacer así.
#62 #63 Sí, y además creo que ni siquiera necesitas programar un software específico, porque hay herramientas de Pruebas de Carga (Stress Test) específicas para probar webs, donde puedes variar un parámetro. Si el parámetro que eliges es el código que supuestamente se envía al móvil... pues ya lo tienes.
Es decir, estos programas están diseñados para cosas como "voy a probar a registrar 1000 usuarios, con nombres de usuario desde test000 a test999" ... y, para eso, si hay parámetro HTTP llamado newuser, pues una petición sería con newuser=test000 ... y así hasta test999
Estos programas permiten hacer esas peticiones HTTP de forma simultánea, no una detrás de otra, porque precisamente el software es para probar qué pasaría cuando se conecte mucha gente a una web.
El número de peticiones simultáneas desde una IP está limitado por el máximo número de sockets TCP (conexiones TCP)... Es decir, tu ordenador, con una IP pública establece muchas conexiones, y cada conexión tendrá unos paquetes que vienen de respuesta, y para distinguir la respuesta de unos y otros se usan unos números, limitados. Sería lo que se llama el número de puerto TCP, en concreto el puerto origen (el puerto destino en HTTP suele ser el 80). Creo que son 16 bits, con números que suelen ser entre 32768 ("10000000 00000000" en binario, o "8000" en hexadecimal ) y 65535 (FF en hexadecimal, 16 unos en binario) o 61000. Los códigos menores se suelen reservar, aunque a veces el límite inferior se pone en 15000. Típicamente, tu ordenador no podría hacer más de 32768 conexiones TCP, como las HTTP, como mucho... bueno, 46000 si pones el límite inferior en 15000. Pero normalmente no se apuraría al límite y pongamos que haces 10000 , te las contestan todas, luego otras 10000 y así. Si tardan en contestar 1 segundo cada tanda, podrías hacer 1 millón de conexiones en 100 tandas, es decir, 100 segundos, que es menos de 2 minutos. Y analizando las respuestas del servidor verías cuál es la clave válida y la respuesta que te dio el servidor en ese caso, y usando eso podrías apoderarte de la cuenta, eligiendo un nuevo password que supuestamente era el que no recordabas.
Aunque supongo que no podría ser tan rápido porque los servidores suelen limitar el número de conexiones simultáneas para cada IP... para evitar ataques DoS (denegación de servicio) y en caso de intentar pirulas de esas, señalan a tu IP como maliciosa y desechan todos los paquetes enviados desde esa IP, sin atenderlos.
Si no pudieses hacerlas simultáneas y se tardase 1 segundo en cada una, serían 1 millón de segundos, que son 278 horas... unos 12 días, máximo, en media serían 6 días. Claro, que si dispones de varias IP públicas se dividiría por el número de ellas que tengas: con 12 IPs públicas sería máximo 1 día (24 horas) y en media 12 horas. De todas formas 2 simultáneas sí que se suelen permitir, lo que reduciría las cifras a la mitad.
#64 Bueno, creo que no habría que analizar siquiera las respuestas del servidor... es decir, podría ser algo tan simple como enviar peticiones HTTP del tipo:
"el código que me llegó es 111111 y quiero que mi password sea 123456"
Y tras finalizar el proceso, una de las peticiones sería atendida y "tu" nuevo password sería el que has elegido.
Así se podía hackear cualquier cuenta de Facebook hasta hace días
¡A buenas horas!
#2 Ya nos podría haber avisado antes de decirselo a Facebook
#2 Tener el poder de entrar en cualquier cuenta de Facebook y acceder a los secretos e intimidades de cualquiera puede seducir a muchas personas
¿Pero para qué? ¡Si la mayoría de usuarios cuenta ya su vida en Facebook, de forma abierta, foto a foto y casi en directo sin secretos ni intimidades!
15.000 $ están muy bien solo por comprobar que la beta de facebook no bloqueaba los ataques de fuerza bruta.
#1 Me recuerda a la fábula del "ingeniero y el tornillo": http://www.directivosdeespana.es/la-fabula-del-ingeniero-y-el-tornillo-o-aprende-a-hacer-valer-tus-conocimientos-y-habilidades/
#3 me ha gustado ^^
#3 #5
La historia es cierta (pero sin tornillo). Se llamaba Charles Proteus Steinmetz.
http://www.smithsonianmag.com/history/charles-proteus-steinmetz-the-wizard-of-schenectady-51912022/?no-ist
Ya ha salido por aquí varias veces:
La factura de Steinmetz
La factura de Steinmetz
anfrix.comUna marca de tiza de 10.000 dólares
Una marca de tiza de 10.000 dólares
alpoma.net#3 #5 La fábula del tornillo (aunque no con un ingeniero, sino un "simple" mecánico de coches) fue interpretada por Toni Leblanc en la película "Las chicas de la Cruz Roja", de 1958.
Aquí se puede ver la escena:
#9 En cuanto a la historia de Steinmetz... yo diría que no hay seguridad de que sea cierta, o que hay serias dudas de que lo sea.
En Snopes.com (el sitio por excelencia dedicado a desmentir o corroborar bulos, leyendas y anécdotas, por si alguien no lo conoce) lo cataloga como "Leyenda".
http://www.snopes.com/business/genius/where.asp
Ahí dice que la historia aparece con otros nombres de personajes como Tesla y Edison (que, por cierto, ambos eran conocido del señor Steinmetz).
Creo que esto no quiere decir que la historia sea falsa... aunque según el propio Snopes.com una leyenda suele considerarse falsa, como que es mera ficción, tanto por el que la cuenta como por el que la escucha, aunque al contarla la relate como algo que ocurrió en realidad. Sin embargo, el término "leyenda urbana" según Snopes se refiere a una historia con cierta verosimilitud que se cuenta como verdadera (tú mismo, por ejemplo, lo primero que has dicho es que la historia es cierta). Y ser leyenda urbana no implica que sea falsa, a veces casualmente es algo cierto, pero muchísimas veces es algo falso.
Por lo que he visto, la historia de Steinmetz aparece en la revista Life en 1965, en la sección de Cartas al Director, por una carta enviada por un lector diciendo ser hijo de un empleado de Ford (el empleado se llamaba Burt Scott), y que su padre le contó la historia.
Claro, alguno pensará que si eso se publicó en la revista Life seguramente ocurrió... Bueno, que cada uno piense lo que quiera, pero también es cierto que cualquiera puede enviar una historia falsa a una revista y publicársela simplemente porque es una historia simpática y parece aportar algo.
¿La historia es verosímil? La empresa Ford se creó en 1903, sacando el famoso modelo Ford T en 1908 y Steinmetz murió en 1923, a la edad de 58 años. El suceso pudo ocurrir entre 1910 y 1920, y en esa época un empleado llamado Burt Scott pudo estar trabajando allí, y no es imposible que tuviese un hijo que lo contase en 1965. ¿O no? Bueno, en la carta se dice que el suceso ocurrió en la planta de River Rouge, en Michigan. Y esa planta empezó a construirse en 1917... lo cual sólo deja un margen entre 1917 y 1923... Lo que pasa es que la planta o complejo de fabricación de la compañía Ford acabó de construirse en 1928, 5 años después de la muerte de Steinmetz...
Sin embargo, el edificio de generación eléctrica fue acabado en 1921 (y la planta de River Rouge comenzó a operar a principios de los años 20),
http://www.fordmotorhistory.com/factories/river_rouge/power_house.php
así que no es imposible que ocurriese pero queda limitado entre 1921 y 1923. Steinmetz tendría entre 56 y 58 años, por hacernos una idea, que no era un chaval, vamos, aparte de ser una persona con problemas físicos (jorobado, estatura pequeña, etc). Lo digo porque en el relato parece un chavalín que se sube a una escalera y hace una señal con tiza... y no, ya era un hombre muy maduro. Como curiosidad, dicho edificio no sólo proporcionaba electricidad a la planta de Ford, sino también a la compañía Edison (que supongo que vendería esa electricidad a otros edificios de la zona), por un acuerdo que tenían.
En cuanto a derrochar en una planta de generación eléctrica, en 1918 el éxito de Ford era tal que la mitad de los coches de EEUU eran el modelo T de Ford. Vamos, que tenía dinero para derrochar, tanto en el edificio de generación, como para contratar al mejor ingeniero eléctrico aunque estuviese ubicado en New York, a unas 500 millas = 800 kilómetros de distancia.
Respecto a los 10000 dólares de la época (1920) llevados al valor actual, equivaldrían a 120 000 dólares. En 1916 el precio de un Ford T eran 360 dólares (unos 4500 dólares de hoy en día según el ajuste de inflación), es decir, con los 10000 dólares de esa factura de 2 días de trabajo podías comprar unos 28 coches de la época, y aquí no hay cálculo de inflación.
La carta en Life fue en 1965, unos 45 años después del supuesto suceso, cuando el dolar tendría ya otro valor. Creo que no nos podemos fiar mucho de la cifra de 10 000 dólares que aparece en esa carta.
¿Cuánto costaría ese generador o edificio?
En 1937 compró un nuevo generador eléctrico gigante que le costó 5 millones de dólares.
http://archives.chicagotribune.com/1937/04/14/page/27/article/ford-buys-huge-generator-for-river-rouge
Hombre, comparado con esto, los 10000 dólares no parece tanto jejeje, aunque el de 1921 supongo que costaría menos ¿1 millón? En ese caso, la reparación o consultoría habría costado un 1% del precio y ya no parece tanto.
#1 Pues a mí poco dinero me parece, tratándose de una vulnerabilidad que afecta a una web con 1.500 millones de usuarios.
#1 Está muy bien, pero podría haber hecho una fortuna no revelando la vulnerabilidad. Muy encomiable.
Si Facebook no le llega a pagar por encontrar la vulnerabilidad, me parece que la mitad de mis compañeros de oficina ya serían fans de la Pantoja y hubieran salido repentinamente del armario.
#4 Fans de la Pantoja.
Alguna gente solo quiere ver arder el mundo.
#15 no has entendido nada.
Glub
#50 Lo de fixear no es eso de pasearse en bicis rarunas?
#52 Sólo si tienes barba fixed
#56 Ajajjaajajjj
#15 Tu clave no se usa en ningún momento el agujero es que los intentos de restablecer la contraseña con un código no tienen limite si lo hacías por estos sub dominios: beta.facebook.com y mbasic.beta.facebook.com
Antigua, ya no resulta útil si lo han fixeado.
#11 ¿si lo han que?
#14 Fixeado.
#18 Fixeado?
#26 fixeado.
#29 arreglated
#34 Correctado
#34 Gracias por arreglatearlo.
HOYGAN POR FABOR, ALGUIEN ME ALLUDA A HACKEAR EL FACEBOOK DE MI NOBIA
#23 Intuyo que su contraseña será 1234
#27 GRASIAS DE ANTEBRASO
#23 La mejor manera de encontrar ayuda es buscar algo en google, hacer clic en el primer enlace, y luego, sin leer nada, buscas un formulario de enviar comentarios y allí escribes tu problema y tu mail.
Seguramente hubiera podido hacer más plata hackeando algún perfil por encargo...
#37 Si pero hizo lo correcto y ahora tendra reconocimiento y un hito para su CV que le hara conseguir mejores trabajos.
#33 Es una beta publica, no le veo nada de malo.
#54 Una beta compartiendo la base de datos real y en producción y la abro así tal cual, no se yo hasta que punto estoy protegiendo las bases de datos de mis usuarios y abro una "beta" que puede acceder a sus datos y modificarlos por que todavia no esta terminada o corregida, grave al menos es al menos que se acceda a la base de datos real desde una beta publica.
Y el que te lleguen cientos de sms para recuperar tu contraseña no levanta sospechas?
#10 En realidad solo te llegará uno. El mecanismo es:
- Pides restablecimiento de contraseña.
- Facebook te dice: Has pedido restablecimiento de contraseña, te acabamos de mandar tu código al correo/movil.
- Una aplicacion se pone a decirle a la pagina de facebook: El códgio es 000001, 000002, etc. Al ser hecho por una aplicacion el código de seis dígitos sale en cuestion de segundos. La aplicación cambia tu password y entra en tu cuenta.
Evidentemente tu te darás cuenta si o si:
- El email/sms despertará tus sospechas
- Pero es que sino , la proxima vez que te conectes no vas a poder loggearte porque te han cambiado la password. (y si el tio es rápido, quizas el email de contacto o el movil para que no vuelvas a cambiar tu la contraseña).
- Y aún así, el tio ya ha tenido acceso a todos tus datos privados. A lo mejor para cuando entres tu a cambiarla de nuevo el ya tiene lo que quiere. O ha publicado lo que quiere desde tu cuenta para infectar a tus amigos etc etc...
#12 te vas a morir de asco intentando sacar la mia,la fuerza bruta es lo mas torpe...no os a enseñado nada mr.robot? La ingenieria social te ahorra mucho tiempo y es muchisimo mas efectiva
#15 Conseguí el teléfono del jefe de departamento de programación de una gran empresa en tres llamadas, sin mentir ni montar historias, además del email y donde toma café etc. Algo que a él le asombró.
Vamos, que no hice ni "ingeniería social" sino que era más bien "retraso intenso del personal".
#12 De verdad que la página del codigo de desbloqueo tenia pruebas infinitas, a estas alturas... es un fallo y gordo la verdad.
#25 Si .... y no. A ver, en realidad lo tenía implementado.. peeero resulta que tenían dos dominios (para probar nuevas features (beta.facebook.com y mbasic.beta.facebook.com,) donde a pesar de poder usarse usuarios reales (comparten base de datos) no tenían ese mecanismo. Así que el resultado para el atacante era el buscado y conseguía cambiar la password de usuarios reales.
#31 O sea que les han entrado por una beta de software que no han bloqueado ni han dejado visible solo en su intranet... no se yo que es peor, si que no lo hayan implementado o haber dejado una beta.. tan beta al descubierto.
"Fixeado"
P.D: Fixed o fixado, a según qué idioma hables.
Nada, no es peligroso... (hace días sí). ¡La de fotos vuestras posando en la playa roj@s como cangrejos que habrán visto sin permiso!
#13 yo tengo de mi brillante culo metalico
Y lo de acceder sin contraseña desde enlaces que te envía el sistema de novedades de Facebook por SMS, ¿lo habrán cambiado ya?
Asombrado me quedé cuando al ver que en el teléfono de empresa llegaban esos mensajes de la antigua titular del número y al escribir los enlaces tal cual en el navegador del pc... ¡Tachán! estabas dentro de su facebook sin poner claves ni nada. No me pareció seguro que no pida confirmar la clave y que un simple link te identificase.
PD: quiero mis 15000
por cierto que ya han metido la vulnerabilidad en algun paquete para script kiddies y hasta que se les pase la tonteria es una tortura estar recibiendo SMSs todo el rato.
por cierto
aviso para navegantes Esta página web está en una lista de sitios web con reputación incierta o contenido potencialmente no deseable y se ha bloqueado.