Фейсбук: и всё мужчина, давай досвидания!

3. продолжение

начало Фейсбук: и всё мужчина, давай досвидания!

Украли цифровые ключи – точнее хэши, означает, что они, банально, БЕЗ ЗАЩИТЫ, хранились у Фейсбук на серверах, это безусловная “жалька”, это безусловно, дыра в безопасности,

а утверждение, для систем, использующие хэши, “сами ключи менять не нужно! пахнет безумством разума, который делает суждения, основываясь на желаемом, а не  фактах,

– хэши паролей генерируют на основе пароля, с другим хэшем пароль будет не верен. А если оставить хэши неизменными, то возможна непозволительная угроза расшифровки изначального пароля. А потом удивляються, откуда беруться взломанные аккаунты в сети!

    Наш HELPSOC совет: Меняйте пароль однозначно ( МЕНЯЙТЕ ВСЕ, ЕСЛИ ИХ, У ВАС БОЛЬШЕ)
Или не меняйте, если считаете бесполезным:( Всё равно взломают)

Получается, что у Фейсбука, одни понты, при входе:      2х факторная идентификация и подобная чушь, из-за которой фейсбук, ежедневно теряет тысячами клиентов, при этом, теряет доступ к аккаунтам пользователей, это как называется? Защита хэшей, ключей и паролей, есть первичная задача администратора.  Да, если это Хакеры, просто продемонстрировали бреш, мы бы аплодировали, но нет, к сожалению, вряд ли сами, ИТ инженеры фейсбука, на себя клевещут, ибо это провал безопасности, с серьёзными убытками , хотя, есть и другие мнения.

Итак:

Злоумышленники, воспользовались опцией «Просмотр страницы, для других пользователей», чтобы получить цифровые ключи, которые позволяли, им пользоваться чужими страницами в соцсети, без подтверждения паролей.

-Это мягко говоря не соответствуе истине, получение пкбличного ключа, да, и то сомнительно. Но он, не один, и не может привести к взлому ключей, иное дело, можно было подсматреть алгоритм шифрования, как указал ниже Синх.

В Facebook утверждают, что уязвимость устранена, а правоохранительные органы поставлены в известность. Цифровые ключи пострадавших аккаунтов обновлены, чтобы защитить подвергшихся атаке пользователей.

Пользуйтесь и дальше, никаких проблем, менять пароли нет необходимости, сообщил Фейсбук.

Сообщаем, кто не в курсе: поменять пароль, стоит всем. Перед нами Фейсбук сказал, всё, что мог сказать, с оглядкой на политиков и чиновников, данной отрасли, если, есть такая служба, разумеется и где.
Действительно, сами хеши не являются полным доступом, для пользователя, но ИТ специалистам и хакерам этого более чем достаточно, чтобы нагородить дел в Вашем аккаунте, и от Вашего имени.

 

Независимый исследователь из Калифорнии, Гуркират Синх (Gurkirat Singh), в своем блоге дал ответ на животрепещущий для многих вопрос: как взломать аккаунт Facebook? Синх описал метод, который позволял ломать аккаунты массово, вне зависимости от сложности и длины пароля, а также двухфакторной аутентификации.

Синх нашел проблему в механизме, при помощи которого социальная сеть обнуляет забытые пароли пользователей.

   Как только кто-то запрашивает смену пароля, Facebook осуществляет эту операцию через генерацию случайного шестизначного кода, то есть комбинаций для таких кодов может быть всего 10⁶ = 1 000 000.

Исследователь обнаружил, что если запросить смену пароля через mxxxxxc.facebook.com, шестизначный код сменится и придет в негодность, лишь после его использования, то есть, фактически у него нет «срока годности». Синх понял, что если миллион человек запросит смену пароля примерно одновременно, то код, который социальная сеть создаст для миллион первого, будет дублировать чей-то еще.

Для проверки своей теории исследователь собрал базу Facebook ID, забрасывая запросами API . Синх методично перебирал ID, начиная с 100 000 000 000 000. Дело в том, что ID — это уникальный идентификатор, обычно состоящий из 15 символов. С ID разрешено работать только авторизованным приложениям, но если попытаться воспользоваться адресом facebook/[ID], произойдет редирект, ID будет автоматически заменен на имя пользователя. Что подтвердит верность ID.

        Также исследователь смог присовокупить к своей базе фотографии профилей и полные имена пользователей, так как социальная сеть никак не ограничивала распространение этой свободной информации. Суммарно Синх собрал информацию о двух миллионах учетных записей.
     «Я сообщил им о проблеме еще 3 мая 2016 года, но в Facebook не поверили, что такая масштабная операция возможна.

Они хотели доказательств.

В итоге я провел почти месяц изучая вопрос и подготавливая инфраструктуру для атаки на 2 млн пользователей Facebook. Когда я добавил информацию о баге снова, они согласились, что это определенно проблема».
Имея на руках базу, состоящую из двух миллионов пользователей,

Синх написал скрипт, который использовал сотни прокси и рендомных user-agent. Скрипт запрашивал сброс паролей для всех двух миллионов пользователей, быстро исчерпывая пул «одноразовых» шестизначных кодов. Затем исследователь выбрал случайное число (к примеру, 35235) и начал процедуру смены пароля, брутфорсом перебирая весь имеющийся двухмиллионный список.                        Надежды Синха полностью оправдались, так как в итоге в списке действительно удалось обнаружить пользователей, которым шестизначный код подходил, то есть алгоритм Facebook действительно начал повторяться, как и предполагалось.

Хотя компания уже выпустила патч, призванный устранить обнаруженную Синхом проблему, исследователь не уверен, что проблема полностью решена.
«Я знаю, что Facebook выпустила патч, и они теперь агрессивно фильтруют IP-адреса. Но я по-прежнему сомневаюсь, что их патч достаточно эффективен против этой уязвимости, так как можно использовать больший пул IP-адресов, симулировать глобальный трафик и применить социальную инженерию», — говорит исследователь.

 

Хотя, для судей, поведение в соц сетях не может являться фактом, привязанным конкретно к Вам, но кто знает, что спец.службы напридумывать смогут

( террор, катастрофы, нло, скай окер вернулся и люди в чёрном),

а судьи, какую политику возьмут за основу — одни не приятности, против простой смены пароля.

Интересно, а сервера выдержат, от наплыва желающих? Тысячи, то понятно, а миллионы?

 

 

Взлом фейсбук — способы и защита Несмотря на то, что безопасность аккаунтов на Facebook неоднократно компрометируется каждый год, количество пользователей этой социальной сети растет.

В октябре 2012 года в Facebook был зарегистрирован миллиардный профиль, а ежедневное количество посещений превысило шестьсот миллионов.

Facebook – сайт, на котором мы делимся подробностями о своей личной жизни. Дни рождения и годовщины, места, которые мы посещаем и куда ездим в отпуск, фотографии с родными и близкими, веселые и грустные мысли – все находит место на наших страницах.

Однако мы забываем, кто может за нами наблюдать. изначально предназначались для общения,

но некоторые люди увидели в них способ влиять на других в своих нечестивых целях.

Информация о себе, которую мы раскрываем, может быть использована против нас.

Например, другие всегда знают, дома мы или нет, как давно ушли, и так далее, а это – вопросы личной безопасности.

Чем более зависимы от сетевых технологий мы становимся, тем более высокий риск взлома мы испытываем.

В профилях Facebook мы и так слишком много о себе сообщаем, но некоторые люди идут еще дальше и взламывают пароль, получают возможность делать изменения на странице и использовать ее в своих целях,

и это уже – кража личности, одна из самых серьезных сетевых опасностей.

Но, так как взломщикм, на это, да с большой колокольни, то защищаем свой акконт сами, причём рекомендуем использоаать, прокси или ВПН  или ТОР сети, для лучшей безопасности  Вас, тогда  нельзя вычислить, даже Фейсбук не сможет за Вами следить. А проверить смену Вашего ИП адреса, Вы можете здесь. В любом случае, не лишними, будут рекомендации:

Ваш Facebook-аккаунт должен быть привязан к специально созданному для этого электронному ящику. Логин этого ящика не должен быть отображен в контактной информации.

Тщательно подбирайте секретный вопрос и ответ на него.

Нельзя, чтобы это была информация, доступная со страницы Facebook или просто много кому известная: дни рождения и годовщины, имена питомцев и первых учителей в школах, и так далее.

Все это легко можно узнать по вашей странице или странице ваших друзей.

Наконец, рассылку паролей друзьям можно настроить таким образом, чтобы их могли получить только три конкретных человека.

Тогда никакие новые аккаунты или «левые» друзья не смогут «поделиться» со взломщиком паролем к вашему аккаунту. Если вы обнаружили или заподозрили что-то неладное, полезным будет обновить программное обеспечение.

Меняйте пароли.

Придумывайте альтернативные пароли хотя бы два раза в месяц.       Это усложнит хакеру жизнь и сделает информацию, которую он получает, неактуальной.

Фишинг Фишинг – самый сложный из предложенных способов взлома страницы фейсбук, но в то же время один из самых распространенных.

Суть фишинга в случае, когда нужен пароль от Facebook, заключается в создании ложной копии страницы, на которой вводится логин и пароль.    Эта страница может быть отправлена потенциальной жертве взлома любым способом.

Она выглядит точно так же, как начальный экран Facebook, но если человек введет свой логин и пароль, эта информация тут же попадет создателю ложной страницы.

Сложность этого способа состоит в том, что нужно обладать навыками работы в сети – хостинг сайтов и дизайн веб-страниц. В сети существуют подробные гайды, с помощью которых фишингом сможет заниматься даже любитель.

Проследовав простым инструкциям, вы создадите ложную копию экрана Facebook, которую нужно будет отправить человеку, пароль которого вы хотите получить. То, что он введет, поступит в ваше распоряжение.

Впрочем, в последнее время пользователи редко заходят на Facebook по сторонним ссылкам, а защита электронных ящиков от фишинга с каждым годом становится все боле совершенной.

В идеале, конечно, нужно создать полноценную копию Facebook, тогда попытка фишинга будет выглядеть более правдоподобной.     Как от этого защититься Не переходите по ссылкам, которые приходят вам на почту.

В таких письмах вас будут убеждать залогиниться в Facebook, пройдя на сайт именно по конкретной ссылке.     Лучше сразу удалите такое письмо и забудьте, откройте Facebook через свои закладки и спокойно заходите. фишинг фейсбук       Обратите внимание, что фишинговые сообщения могут приходить не только на электронный ящик.

Это может произойти и в онлайн-чате, и в SMS-переписке, и вообще на любом сайте.

 

tags: helpsoc, как взломать аккаунт Facebook?, компания уже выпустила патч, сброс паролей, скрипт, использовал сотни прокси и рендомных user-agent, взлом фейсбук, Социальные сети,

 Для справки, можете воспользоваться страничкой помощи