Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 15, views: 15.341 •

De white-hat-hacker Nir Goldshlager heeft een methode ontwikkeld om via Skype en Dropbox toegang te krijgen tot elk Facebook-account dat met een van beide diensten gekoppeld is. Skype en Dropbox hebben de gaten ondertussen gedicht.

Goldshlager liet aan TechCrunch weten hoe de hack in elkaar steekt. De hack maakt gebruik van open redirect vulnerabilities waarvoor zowel dropbox.com als metrics.skype.com gevoelig bleken. Hierbij konden met behulp van het Facebook User ID van een gebruiker die Skype of Dropbox gekoppeld heeft, de access-tokens van die Facebook-apps overgenomen worden.

Door de juiste url, met redirect naar een eigen website, in te toetsen achter het Dropbox- of Skype-domein, zou de hacker de access-tokens naar zijn eigen domein kunnen sturen. Er bleek geen validatie te zitten op de redirect-link. Met behulp van de tokens kan een hacker geen volledige toegang tot een Facebook-account krijgen. De hacker kan wel de rechten krijgen die de apps gekregen hebben, zoals het posten op een wall en het inzien van persoonlijke informatie. Skype, Dropbox en Facebook hebben gemeld dat de beveiligingsgaten inmiddels gerepareerd zijn. Goldshlager heeft nog niet zelf bekend gemaakt hoe de hack in elkaar steekt, waarschijnlijk zal hij de hack binnen enkele dagen publiceren op zijn blog.

Facebook Like-knopHet is niet de eerste keer dat Goldshlager Facebook hackt. In maart 2013 wist de hacker Facebooks OAuth-authenticatie te omzeilen, nadat hem dat eind februari ook al eens was gelukt. Bij de vorige hack wist Goldshlager ook een kwetsbaarheid in redirects op Facebook uit te buiten.

Nir Goldshlager is een white-hat-hacker en rapporteert beveiligingsproblemen die hij opspoort bij de websites in kwestie. De hacker staat al twee jaar op de 'bedanklijst' van Facebook vanwege het aantal lekken dat hij heeft opgespoord.

Update, 14:25 donderdag 4 april: Naar aanleiding van de reactie van TTIelu enkele wijzigingen aangebracht.

Reacties (15)

toch mooi he, dat single-sign-on :X
In principe wel, maar volgens mij kan het beter via de browser gedaan worden dan met dit soort vage technieken.
white hat hacker? is dat wat de pro's een "hacker" noemen? (in tegenstelling tot een "cracker".
Een white hat hacker die hackt met een goede bedoeling. M.a.w Hij zoekt een zwakte in de beveiliging en geeft vervolgens een oplossing of maakt er zelf een voor. Vandaar dus de naam White hat

- ontopic

Dit zijn dus redenen waarom ik mjin facebook of eigenlijk mijn alles met niks koppel.
Nee, dit is iemand die het eerst bij de bedrijven waar het om gaat meld zodat deze het kunnen aanpassen voordat deze het openbaart, een white hat hacker is dus iemand die daarmee de beveiliging van bepaalde software/websites etc wil verbeteren en deze lekken niet wil misbruiken.

Bron : http://en.wikipedia.org/w...t_%28computer_security%29
Het Klokhuis legt het je kinderlijk eenvoudig uit :)
Nir Goldshlager is een white-hat-hacker en rapporteert beveiligingsproblemen die hij opspoort bij de websites in kwestie. De hacker staat al twee jaar op de 'bedanklijst' van Facebook vanwege het aantal lekken dat hij heeft opgespoord.
kijk zo kan het dus ook. respect voor deze man dat hij zo zijn tijd nuttig besteed voor het algemeen welzijn van de hele facebook community. Bij bedrijven als Dropbox en microsoft(de nieuwe skype) verwacht ik toch wel een degelijk beveiliging. nu ben ik er van skype niet heel erg van onder de indruk, maar van dropbox had ik dit niet verwacht.

Goed van facebook dat hij en honderden anderen ook bedankt worden en niet aangeklaagd oid.
Nir Goldshlager heeft de afgelopen drie jaar enkele tientallen kwetsbaarheden gevonden en gerapporteerd en staat daarom ook al drie jaar lang bovenaan in de jaarlijkse bedanklijst.
De hacker staat al twee jaar op de 'bedanklijst' van Facebook vanwege het aantal lekken dat hij heeft opgespoord.
Hij staat er al voor 2013 (eerste plaats), 2012 (eerste plaats) en 2013 (tweede plaats) en dat zijn er volgens mij 3 :P .

Maja, best een pijnlijk lek, vooral als ik het vergelijk met de complexiteit van de vorige paar die ik heb gelezen (dit is echt vreselijk simpel om op te zetten en uit te voeren als ik hem goed begrijp (techcrunch heeft nog niet alle details gepublished, dat komt pas morgen op de blog van Nir als ik het goed begrijp).
We zitten nu nog in 2013, dus al hij sinds 2011 (neem aan dat je laatste voorbeeld een typo was), dan staat hij nu nu 2 jaar op die lijst, nu voor de derde keer.
Dit artikel bevat een aantal fouten:

"Hierbij konden met behulp van het Facebook User ID van een gebruiker die Skype of Dropbox gekoppeld heeft, zowel het e-mailadres en het wachtwoord van het Facebook-account achterhaald worden."

- Er wordt geen gebruik gemaakt van facebook user id's. Om deze exploit te laten werken moet een gebruiker op de link klikken/openen die de hacker in het filmpje uit notepad kopieerd. (deze fout staat ook in het techcrunch artikel)
- Er is geen toegang tot het wachtwoord van de facebook account. Enkel tot de access token waarmee er bepaalde acties uitgevoerd kunnen worden op de facebook account, zoals posten op de wall.

"Door de juiste url, met redirect naar een eigen website"

Met eigen website is niet helemaal juist, voor dropbox wordt er gebruik gemaakt van een html bestand in de publieke folder welke de cookie doorstuurd naar een ander domain. Voor skype wordt er gebruik gemaakt van een redirect bug in de officiële skype redirect url.

"Zowel Dropbox als Skype bleken niet te valideren naar welk domein de redirect vanaf hun website liep."

Again, niet helemaal waar. Voor dropbox is het eerder de fout van facebook, welke toelaat dat er enkel een domein wordt opgegeven in plaats van een effectieve url (ea: www.dropbox.com ipv www.dropbox.com/oauth2/auth)
<quote>"Again, niet helemaal waar. Voor dropbox is het eerder de fout van facebook, welke toelaat dat er enkel een domein wordt opgegeven in plaats van een effectieve url (ea: www.dropbox.com ipv www.dropbox.com/oauth2/auth)\"</quote&gt;

Als de URL binnen dezelfde origin valt, bijvoorbeeld https://dropbox.com/malicious_file en https://dropbox.com/oauth2/auth kan dit omzeild worden door gebruik te maken van de nieuwe feature history.replaceState.
Daarom, nooit je Facebook-account gebruiken als inlog op andere websites! Dan heb je hier sowieso geen last van.

Maar goed dat het op een nette manier opgelost is!
Als andere websites/toepassingen toegang vragen tot uw facebook gewoon toestaan en toegang beperkten tot "alleen ik" helpt ook.
Want door het hacken van die toepassingen krijgt men enkel de rechten die de toepassing had. Zo weinig mogelijk rechten geven aan die toepassingen dus.
Ik heb Nir een tijd geleden ontmoet in zijn bedrijf in Herzliya, Israel. Een heel sympathieke man.

Maar goed, het is daar een echte internationale tech-hub. Je hebt in Israel honderden bekende (white-hat) hackers.

Op dit item kan niet meer gereageerd worden.