Dapatkah Anda bayangkan bahwa pesan teks tunggal sudah cukup untuk hack account Facebook tanpa interaksi pengguna atau tanpa menggunakan hal-hal berbahaya lainnya seperti Trojans, phishing < /a>, keylogger dll ?
Hari ini kita akan menjelaskan kepada Anda bahwa bagaimana Peneliti Keamanan berbasis di Inggris," fin1te" mampu hack account Facebook dalam satu menit dengan melakukan satu SMS.
Karena 90% dari kita pengguna Facebook juga, jadi kita tahu bahwa ada pilihan untuk menghubungkan nomor ponsel Anda dengan account Anda, yang memungkinkan Anda untuk menerima update akun Facebook via SMS langsung ke ponsel Anda dan juga Anda dapat login ke account Anda menggunakan yang menghubungkan jumlah daripada alamat email atau nama pengguna.
Menurut hacker, celah itu di nomor telepon proses menghubungkan, atau dalam istilah teknis, pada berkas / ajax / pengaturan / mobile / confirm_phone.php
Halaman web tertentu ini bekerja di latar belakang ketika pengguna memberikan nomor telepon dan kode verifikasi, dikirim oleh Facebook ke ponsel. Itu formulir pengajuan memiliki dua parameter utama, satu untuk kode verifikasi, dan kedua profile_id, yang merupakan akun untuk menghubungkan nomor.
Sebagai penyerang , ikuti langkah berikut untuk menjalankan hack :
1 . Perubahan nilai profile_id nilai profile_id Korban dengan gangguan parameter.
2 . Kirim surat F ke 32665 yang merupakan Facebook SMS shortcode di Inggris. Anda akan menerima kode verifikasi 8 karakter kembali.
3 . Masukkan kode yang di dalam kotak atau sebagai nilai parameter CONFIRMATION_CODE dan Kirim formulir.
Facebook akan menerima kode konfirmasi dan nomor ponsel penyerang akan dihubungkan dengan profil Facebook korban.
Dalam langkah berikutnya hacker hanya perlu pergi ke pilihan Lupa kata sandi dan memulai permintaan reset password terhadap account korban.
Penyerang sekarang bisa mendapatkan kode pemulihan password ke nomor ponsel sendiri yang terkait dengan akun korban dengan menggunakan langkah di atas. Masukkan kode dan Reset password !
Facebook tidak lagi menerima parameter profile_id dari pengguna akhir setelah menerima laporan bug dari hacker.
Sebagai imbalannya, Facebook membayar $20.000 untuk fin1te sebagai Bounty Bug.
