El hacker, Josip Franjkovic en su blog publicaba el hallazgo de una fallo de seguridad grave en facebook, la cual por mediante de un CSRF lo cual permitia asociar una cuenta de correo de manera arbitraria.
El hacker explica Para explotar esto, necesita una cuenta de Facebook, un Outlook.com (Hotmail) de correo electrónico, y una víctima. El correo electrónico de Outlook no deben estar vinculadas a su cuenta de Facebook.
El fallo de seguridad fue encontrado en exportar contacto de correo electronico, la cual al enviar la peticion realizaba un GET a:
https://m.facebook.com/contact-importer/login/?api_instance=1&api_ver=wave5&auth_token=TOKEN
Automaticamente este generaba un token.
Aqui el video de Explotacion:
Artículo original en Websecuritydev.com
No hay comentarios:
Publicar un comentario