+- Praca w domu - Dodatkowa Praca - Zarabianie przez Internet (https://zarabiam.com)
+-- Dział: Off-Topic (/Forum-Off-Topic-9)
+--- Dział: Wiadomości (/Forum-Wiadomosci-117)
+--- Wątek: Zarobił 20tyś $ za błąd na facebooku (/Temat-Zarobil-20tys-za-blad-na-facebooku-72217)
Strony: 1 2
Zarobił 20tyś $ za błąd na facebooku - Killer - 04-07-2013 22:21
Pewien pentester zgarnął aż 20 000 dolarów od Facebooka w nagrodę za zgłoszenie błędu w ramach programu Bug Bounty. Błąd pozwalał w prosty sposób przejąć konto dowolnego użytkownika na Facebooku.
SMS z hasłem od Facebooka
Podatność znajdowała się w mechanizmie dowiązania numeru telefonu do konta na Facebooku. Skrypt /ajax/settings/mobile/confirm_phone.php przyjmował dwie zmienne…
code — odpowiadającą za kod wysyłany SMS-em użytkownikowi w celu potwierdzenia, że dany numer rzeczywiście należy do niego
profile_id — ID profilu zalogowanego użytkownika
…ale pozwalał pod tę drugą podstawić ID profilu dowolnego użytkownika, co powodowało, że nasz numer telefonu dowiązywaliśmy do nieswojego konta.
Aby przejąć czyjeś konto należało więc:
Wysłać literę F pod numer telefonu Facebooka (w UK: 32665)
Spreparować żądanie HTTP do skryptu confirm_phone.php z otrzymanym SMS-em kodem i z ID profilu ofiary
Zainicjować “przypomnienie hasła” na koncie naszej ofiary wybierając przypomnienie via SMS
Facebook już załatał błąd.
info z niebezpiecznika
nic tylko luk szukać, ta była banalna, a ponad 60 tysięcy złotych to dobry prezent od fb
RE: Zarobił 20tyś $ za błąd na facebooku - Evid3nce - 04-07-2013 22:23
Też bym tak chciał ;p
Wysłane z mojego ST21i za pomocą Tapatalk 4
RE: Zarobił 20tyś $ za błąd na facebooku - MrocznyKILL - 04-07-2013 23:15
To już chyba wiemy jak Killer zarabia w sieci
RE: Zarobił 20tyś $ za błąd na facebooku - poczmail - 05-07-2013 15:50
Niezłe. Idę chyba na FB szukać jakiejś luki.
2
RE: Zarobił 20tyś $ za błąd na facebooku - Limitless - 06-07-2013 18:31
O kurczę tacy to mają szczęście ;P
RE: Zarobił 20tyś $ za błąd na facebooku - Matiw131 - 06-07-2013 18:53
Ja też znalazłem błąd i czasami nie mogę się zalogować , tylko jeszcze pracuje nad tym czy aby właśnie czasami nie wpisuje źle hasła
RE: Zarobił 20tyś $ za błąd na facebooku - kombajn - 16-07-2013 21:40
No to zaczynamy polowanie na błędy
RE: Zarobił 20tyś $ za błąd na facebooku - GreenDay - 17-07-2013 00:47
Bardzo mało jak za taki błąd, mógł wyciągnąć 100 razy więcej. FB się udało
RE: Zarobił 20tyś $ za błąd na facebooku - ankieter1980 - 22-04-2015 14:55
Idę szukać błędów, może to będzie nowa praca
RE: Zarobił 20tyś $ za błąd na facebooku - erner - 22-04-2015 16:26
Kiedyś odkryłem błąd na fb a mianowicie mogłem otrzymać dostęp do każdego konta. Błąd kosztował 30k$. W przypomnieniu hasła była możliwość zmiany maila. Zmieniałeś maila a poźniej hasło następnie potwierdzałeś na nowym mailu i miałeś dostęp do konta. Znalazłem ten błąd podczas gdy chciałem zalogować sie na swoje konto FB ale zapomniałem hasła maila przypisanego do swojego konta. Jakieś kilka dni później przeczytałem na wp.pl o gościu co dostał 30k$ ze ten błąd. No cóż nie udało się. Nie miałem pojecia jeszcze wtedy że mogłem na tym zarobić. Peszek