Eu pirateei algumas contas do Facebook usando uma vulnerabilidade que elas não corrigirão.

Eu fiz isso sem nunca conhecer a pessoa, tocando suas coisas, ou estar em qualquer lugar fisicamente perto delas. A questão aqui é como o Facebook usa números de telefone.

Veja, o Facebook permite que você adicione números de telefone à sua conta, provavelmente como uma forma de informar seus amigos sobre como eles podem contatá-lo além de WhatsApp ou Messenger ou Snapchat ou Hangouts ou seja o que for.

Mas o Facebook também permite que você use números de telefone como opções de recuperação, assim como um endereço de e-mail. Na verdade, ele encoraja você a fazê-lo, entrando em seu rosto sobre isso de vez em quando.

Ótimo, exceto o Facebook, nunca encoraja você a manter sua informação de contato atualizada. Esta não é apenas uma oportunidade para um amigo ser marcado porque você nunca respondeu ao texto que enviou para um número de telefone que você não tem mais. Isso pode ser feito para sua conta.

Como achei isso

Recebi um número de telefone realmente fotogênico de uma operadora de telefonia VoIP chamada FreedomPop. Eu queria mover esse número para o Google Voice. Infelizmente, o Google Voice não pode entrar nos números fixos, e os números VoIP são praticamente números fixos. Para fazer isso, eu me inscrevi para um plano pré-pago da T-Mobile. O plano era transferir meu número do FreedomPop para o T-Mobile, e depois da T-Mobile para o Google Voice.

Meu cartão SIM T-Mobile chegou e coloquei-o no meu telefone. Enquanto eu olhava as instruções de ativação que acompanham o cartão SIM, recebi dois textos. O primeiro é de alguém que eu não conheço e o segundo é um desses textos enviados pelo Facebook quando você não fez logon por algum tempo … exceto que eu ainda não adicionei esse número de telefone ao Facebook.

Eu estava curioso. Eu conheci o Facebook por padrão, deixa as pessoas encontrarem sua conta com seu número de telefone, então eu digitei o número na barra de pesquisa para ver o que surgiu. Uma única conta. Abri o Facebook em uma guia de incógnito no Chrome e tentei fazer login com o número de telefone como o nome de usuário e uma senha falsa.

Claro que não funcionou. Então cliquei em Esqueceu sua senha.

Essa foi a conta que eu vi quando estava procurando. A opção de recuperação com o número de telefone completamente visível [até eu censurado] foi aquele que entrei. Facebook me escreve um código, entro e estou logado.

Então estava lá. Eu poderia mudar a senha e bloquear esse cara de sua conta, só porque ele esqueceu de remover um número antigo. Ou eu poderia jogar legal e clique em Ignorar para que ele nunca saiba que eu loguei em sua conta.

Por que isso importa

Ok, não preciso explicar-lhe que ter sua conta pirateada é menos do que ideal. Mas, como um amigo me disse, quem se importa? Você não pode escolher seu alvo. É como pegar uma chave da casa na rua que pode te teleporcionar para sua casa e deixá-lo entrar. Ótimo, exceto que você não pode usar essa chave para entrar na casa de dizer, seu ex.

Então, quais são as chances de alguém obter aleatoriamente seu antigo número de telefone e piratear sua conta?

As chances podem ser maiores do que você pensa.

Ok, então voltei para a minha estúpida história de portabilidade do número de telefone. Tudo foi feito usando o número de telefone T-Mobile atribuído a mim quando ativei o cartão SIM. Depois que o porto de FreedomPop passou, meu número T-Mobile tornou-se o número de telefone FreedomPop, então perdi o número antigo e acesso à conta do Facebook desse cara. Minha conta FreedomPop já não tinha mais um número de telefone, então eles me pediram para escolher um novo de uma lista. Então eu fiz.

Este novo número também foi anexado a uma conta do Facebook.

Sim. Acho que sou um idiota por verificar, mas chequei e com certeza, consegui fazer login novamente em outra conta do Facebook, mais uma vez sem deixar rastro. São duas contas seguidas, sem que eu tente . E porque eu continuo comprando novos cartões SIM e mudando números o tempo todo (por razões legítimas, eu prometo!), Eu continuo terminando com novas contas do Facebook, eu só posso fazer login. Não tenho certeza por que checo, mas sim.

Certo, então a probabilidade de haver outra pessoa que está a acontecer para verificar o seu novo número de telefone para ver se eles podem roubar uma conta do Facebook que passa a ser sua é bastante baixa. Mas pessoas curiosas aleatórias como eu não são as pessoas que hackeam contas, hackers e golpistas são. E acredite, há muito dinheiro a ser roubado de contas.

Como eu poderia fazer centenas de dólares por dia seqüestrando contas do Facebook se eu não fosse um cara legal

Meu operador de VoIP FreedomPop me permite mudar meu número sempre que quiser, desde que eu pague 5 dólares por cada privilégio. Quando eu faço, FreedomPop me dá um monte de números para escolher:

Tudo o que tenho a fazer é tentar fazer login no Facebook em uma guia de incógnito usando cada um desses números. Depois de encontrar um número de telefone que corresponda a uma conta, eu apenas compro o número, aguardo o meu telefone para atualizar seu número e depois faça login no Facebook usando o método descrito anteriormente.

Uma vez que eu tenho uma conta, há muitas possibilidades. As pessoas compram contas do Facebook no mercado negro o tempo todo, e mesmo em lugares mais públicos como o Reddit. Ou eu poderia enviar mensagens aos amigos da conta e pedir dinheiro, assim como essa farsa que provavelmente fez milhares .

Claro, se a conta ainda estiver ativamente usada, talvez eu não queira que a pessoa conheça. Isso está ok. Todas as contas do Facebook têm uma conta integrada para gerenciar publicidade no Facebook e eu vi essas contas (sem o resto da conta) ir por US $ 50-100.

Outra possibilidade é anexar um aplicativo do Facebook (porque, seriamente, quem já passou e limpa-os) que usará minhas contas seqüestradas para gostar de páginas e postagens, comentar, dar comentários falsos às empresas, etc., e tudo de contas que parecem reais porque eles são reais, o que os tornará mais valiosos para as pessoas que compram meus serviços (se eu os oferecesse) . Falando em aplicativos do Facebook, lembre-se de todos os sites e aplicativos que você logar com o Facebook porque você é muito preguiçoso para fazer uma conta? Sim, esses também são hackeis.

Meu ponto aqui: sua conta do Facebook é um tesouro que valha a pena um bom pedaço de dinheiro. Eu não sou um garoto excessivamente inteligente. Supondo que 214 milhões de pessoas usem o Facebook nos EUA , apenas 1 em cada 100 pessoas tem um número de telefone inativo na sua conta (uma figura que acabei de inventar), e cada conta vende por US $ 50, você está olhando para um grupo de US $ 107 milhões . E isso é apenas de vender as contas. Quando você inclui o fraude ou o potencial de engarrafamento de cada conta, esse valor em dólares aumenta ainda mais. Eu garanto que alguém lá fora já cheira o dinheiro, descobriu isso e está perseguindo as contas que podem revender. Em algum momento, uma dessas contas será sua se você tiver um número de telefone desatualizado em sua conta. Então, hum, repare isso.

O que você pode fazer:

  1. Remova imediatamente os números de telefone e os endereços de e-mail de todas as suas contas on-line, incluindo o Facebook.
  2. Obtenha alertas sobre logins não reconhecidos para o Facebook .
  3. Inferno, configure a autenticação em duas etapas , já que por que alguém poderia entrar em sua conta com apenas uma coisa?
  4. Abaixe a lixeira que é o Facebook e vá para uma boa rede social como Mastodon .

O Facebook não solucionará isso?

Sim, eu enviei um relatório para https://www.facebook.com/whitehat , e aqui está o que eu voltei:

Olá James,

Há situações em que os números de telefone expiram e são disponibilizados para alguém que não o proprietário original. Por exemplo, se um número tiver um novo proprietário e eles usá-lo para fazer login no Facebook, ele poderia desencadear uma reinicialização da senha do Facebook. Se esse número ainda estiver associado à conta do Facebook do usuário, a pessoa que agora possui esse número pode assumir a conta.

Embora esta seja uma preocupação, isso não é considerado um bug para o programa de recompensas de insetos. O Facebook não tem controle sobre os fornecedores de telecomunicações que reeditam números de telefone ou com usuários com um número de telefone ligado à sua conta do Facebook que não está mais registrado para eles.

Obrigado,

Randy
Segurança

O que eu saí daquilo foi "Sim, isso é um pouco suga, mas não é nossa responsabilidade, então nós vamos simplesmente ignorar isso, k?"

Eu também entrei em contato com um conhecido trabalhando no Facebook e eles apresentaram um ingresso interno, mas não conseguiram me dizer qual seria o resultado.

Ambos os pedidos foram enviados há mais de três meses, e a questão ainda permanece, então eu realmente acho que o Facebook não se importa.

Espero que ao publicar isso, talvez pessoas suficientes pressionem o Facebook para resolver esse buraco.

Ok, mas o que você espera que o Facebook faça?

Oops. Talvez isso tenha sido bom incluir quando eu originalmente publiquei essa publicação. Existe uma solução muito simples.

Não permita que os usuários recuperem as contas exclusivamente com o mesmo método usado para fazer login.

Se quiserem recuperar depois de efetuar o login com um endereço de e-mail, faça-lhes usar outro endereço de e-mail ou número de telefone para recuperação. O mesmo acontece com os números de telefone. Isso sozinho iria parar esta exploração em suas trilhas. Heck, mesmo exigindo que os usuários identifiquem pelo menos um outro método de recuperação provavelmente seria tão efetivo.

Além disso, o Facebook deve:

  1. Não permita que os usuários recuperem uma conta sem forçar uma reinicialização da senha. O usuário deve saber quando esse tipo de coisa acontece.
  2. Envie notificações para cada endereço de e-mail e número de telefone anexado quando a senha for reiniciada, pelo mesmo motivo.
  3. Pergunte ao usuário se eles querem remover números de telefone ou endereços de e-mail quando adicionam um novo.
  4. Corrigir o sistema de detecção de tentativa de recuperação suspeita que um porta-voz disse ao The Register que o Facebook tem, porque ainda não me pegou.