Beveiligingsexpert kreeg weer volledige toegang tot Facebook-accounts

Een beveiligingsonderzoeker die eind februari een lek in Facebook publiceerde waarmee hij volledige toegang tot accounts kon krijgen, heeft een nieuwe hack gemeld. Opnieuw wist hij de door Facebook bijgewerkte OAuth-authenticatie te omzeilen. Facebook heeft ook het nieuwe lek gedicht.

Eind februari publiceerde beveiligingsexpert Nir Goldshlager een manier om Facebooks OAuth-authenticatie te omzeilen. Door ingelogde gebruikers op een speciaal vervaardigde site te laten klikken, kreeg hij volledige toegang tot accounts en kon hij privéberichten lezen en afgeschermde foto's zien. Hij slaagde hierin door te doen alsof er een app wordt geïnstalleerd en door de url aan te passen die de OAuth-dienst aanlevert als gebruikers toestemming geven bij de installatie. Gebruikers hoefden geen toestemming te geven voor installatie van een app. Met de speciaal vervaardigde site wist hij zodoende de authenticatietokens af te vangen. Facebook verhielp de kwetsbaarheid snel en beloonde Goldshlager voor zijn melding.

De hacker vond echter een manier om de nieuwe beveiliging tegen het kapen van de authenticatietokens te omzeilen. Hij maakte daarbij gebruik van redirects van Facebook bij het plaatsen van meer dan één hekje in url's. Ook kwam hij erachter dat gebruikers door te sluizen waren naar het domein facebook.facebook.com, waar Facebook redirects naar onbekende of zijn hoofddomeinen blokkeert. Facebook staat wel redirects naar mobiele domeinen als m.facebook.com toe, maar dan zijn de twee of meer hekjes in de url's weer niet zichtbaar. Bij facebook.facebook.com was dat wel het geval en via het, in de woorden van Goldshlager, 'vreemde redirection-gedrag' met diverse hekjes in de url, wist hij accounts door te verwijzen naar zijn eigen site, waarbij hij opnieuw de authenticatietokens kon onderscheppen.

Opnieuw kreeg hij daarmee volledige toegang tot Facebook-accounts, waarbij hij benadrukt dat potentiële slachtoffers van de hack nooit eerder applicaties geaccepteerd hoefden te hebben voor een succesvolle overname. Wel kan steeds één account tegelijk worden overgenomen. Goldshlager zegt zijn methode op 6 maart uit de doeken gedaan te hebben, waarna Facebook de kwetsbaarheid direct ongedaan maakte. Hij beschrijft de proof of concept op zijn site.

Facebook Nir multiple hash signs

IT-banen

Reacties (34)

Wody 13 maart 2013 13:52

Het bericht klopt weer eens niet, er wordt gesproken over slachtoffers van de hack, en mensen denken dat er privé gegevens gelekt zijn.
De realiteit is echter dat er geen privé gegevens zijn gelekt, en dat er maar één slachtoffer is, namelijk facebook.
Het is namelijk zo dat alle gegevens van die ooit op facebook zijn gezet volledig eigendom zijjn van facebook, waarmee ze mogen doen wat ze willen, en dus geen privé gegevens meer, die ze ook gewoon beschikbaar kunnen en zullen stellen aan anderen, als er maar genoeg betaald wordt (en desnoods door facebook zelf over te nemen, wat ook altijd een kwestie van geld is).
Daarom is facebook zelf dan ook het enige slachtoffer, waarbij ze alleen maar slachtoffer zijn van het feit dat (eventueel verborgen) gegevens zonder betaling beschikbaar zijn aan mensen die er anders voor zouden moeten betalen.

Bubblewrap @Wody • 13 maart 2013 14:01

Kudo's voor de man die dit opspoort en meld bij Facebook. Daarna ook kudo's voor Facebook die de man beloont voor zijn werk en de gaten meteen dicht.

Ook kudo's voor Wody, ik heb weer even gelachen dankzij je mooie reactie! Ik begin vast met het vouwen van een aluhoedje voor je, pm me je adres en ik stuur je hem op!

Origin64 @Bubblewrap • 13 maart 2013 14:47

Heeft niets met aluhoedjes te maken, staat allemaal in de kleine lettertjes hoor.

Verwijderd 13 maart 2013 13:07

Facebook ligt wel vaker onder vuur bij hackers. Zo heeft hacker Egor Homakov onlangs Facebook gehackt door gebruik te maken van bugs in Chrome en OAUTH.

TL;DR We (me and @isciurus) chained several different bugs in Facebook, OAuth2 and Google Chrome to craft an interesting exploit. MalloryPage can obtain your signed_request, code and access token for any client_id you previously authorized on Facebook. The flow is quite complicated so let me explain the bugs we used.

Meer info op zijn blog.

Hij schreef onlangs ook een blogpost over OATH: OAuth1, OAuth2, OAuth...?

Daarnaast is het ook de moeite om de beste man te volgen op Twitter: @homakov.

Royy 13 maart 2013 12:49

Chapeau! Zo kan (en hoort) het natuurlijk ook. Een beloning van Facebook is ook wel op z'n plaats.

Dit is natuurlijk wat anders dan meerdere patiëntendossiers bekijken waar je geen recht op hebt.

Kan iemand mij alleen uitleggen waarom ze een facebook.facebook.com domein hebben? Een fout, of daadwerkelijk bewust?

celshof @Royy • 13 maart 2013 13:10

Ik zie niet veel verschil tussen patiëntendossiers bekijken en een Facebook-account kapen. In beide gevallen is het bedrijf geinformeerd en zijn er geen gegevens gelekt.
Wat is in jouw ogen dan het grote verschil?

Het enige verschil is (naar mijn mening) dat Facebook wel adequaat heeft gehandeld en in het geval van de patientendossiers dat er niet adequaat is gehandeld.

Royy @celshof • 13 maart 2013 14:11

Van wat ik hier lees heeft deze hacker het alleen uitgeprobeerd, dossiers zijn ook daadwerkelijk uitgelezen.

Facebook scenario: ziet dat de voordeur openstaat en waarschuwt de bewoner

Dossier scenario: ziet dat de voordeur openstaat, kijkt in lades en kastjes en waarschuwt daarna pas de eigenaar. Dat is het grote verschil.

Verwijderd @Royy • 13 maart 2013 12:54

Als je een facebook.com domein hebt, dan kun je in plaats van 'www' alles verzinnen, inclusief facebook. Zo zou je ook development.facebook.com of test.facebook.com hebben...

[Reactie gewijzigd door Verwijderd op 28 juli 2024 11:30]

Cybergamer @Verwijderd • 13 maart 2013 13:06

Klopt. Dat noemen wij dus een subdomein. Evenals got.tweakers.net een subdomein van Tweakers.net is.

Wasp 13 maart 2013 12:43

Zal Facebook hem al een baan hebben aangeboden?

Neko Koneko @Wasp • 13 maart 2013 12:45

Valt me nog mee dat hij nog niet is aangeklaagd...

dwilmer @Neko Koneko • 13 maart 2013 12:50

Ik denk dat dat komt doordat hij het netjes speelt en eerst Facebook op de hoogte stelt en het pas openbaar maakt als het lek verholpen is. Daarnaast ook kudo's voor Facebook dat ze dit - ondanks dat ze privacy niet zo hoog achten - gelijk fixen.

dasiro @dwilmer • 13 maart 2013 13:04

privacy achten ze helemaal niet hoog in, maar hun data wel. Als iemand anders facebook kan strippen van alle geitewollensokkenbreiers en hen vervolgens aanbiedingen kan sturen, dan is dat niet goed voor alle wolverkopers die op facebook adverteren

RetepV @dwilmer • 13 maart 2013 14:08

Netjes spelen of niet doet er niet toe. Volgens de DMCA is dit fout, wat voor intenties deze kerel ook heeft. De Amerikaanse Justitie kan hem elk moment dat ze willen te grazen nemen, of Facebook nou wel of geen aangifte doet.

Facebook kan de Amerikaanse Justitie ook niet tegenhouden. Justitie doet waar het zin in heeft.

Dus de enige reden dat er geen actie door Justitie wordt ondernomen is dat ze er geen prioriteit aan geven.

Waarom geven ze er geen prioriteit aan? Omdat het gaat om gewone mensen die hier nadeel van zouden kunnen ondervinden. En niet om grote bedrijven met een machtige lobby.

Vergeet niet dat 'De Amerikaanse Regering' de federale regering is. Die representeert de federatie en niet de burgers (behalve dan indirect).

kritischelezer @RetepV • 13 maart 2013 14:32

Wie zegt dat de hacker in de VS verblijft?

beveiligingsexpert Nir Goldshlager kan overal zijn werk doen, waarbij het Amerikaanse recht niet van toepassing is.

Gelieve de VS niet groter te maken dan zij is

gepebril @RetepV • 13 maart 2013 14:15

Ja, gisteren 'We are legion' gezien. In Amerika is het ongeoorloofd toegang verschaffen tot systemen een groter vergrijp dan sexueel vergrijp aan kinderen en moord. De gevestigde orde heeft duidelijk aangegeven waar zij grip op wil krijgen en welke belangen het zwaarst wegen. De burger mag allerlei soorten virussen ontvangen en mailware krijgen, maar een een dDos richting een multinational en hoppa!

ErwinPeters @dwilmer • 13 maart 2013 15:46

een woord: aansprakelijkheid.

pizzafried @dwilmer • 13 maart 2013 15:51

ik hoor anders regelmatig verhalen waarin netjes wordt gespeeld en je als ontdekker gewoon wordt weggebonjourd....of zelfs wordt aangeklaagd...

D.oomah @Neko Koneko • 13 maart 2013 12:52

Facebook is een tech bedrijf dat leeft van het internet. Vertrouwen in hun beveiliging is essentieel om mensen daar te behouden. Bovendien heeft deze hacker geen informatie online gezet. Hierdoor is fb hem alleen maar dankbaar.

In tegenstelling tot andere bedrijven die internet alleen zien als een noodzakelijke bijkomstigheid of hackers die gelijk dingen online publiseren. In het eerste geval heb ik medelijden met de hacker maar in het tweede geval is het eigen schuld dikke bult.

Conzales @D.oomah • 13 maart 2013 23:04

Vertrouwen in hun beveiliging is essentieel om mensen daar te behouden.

Haha, is dit de nieuwe slogan? Zelf verzonnen ook? Dit is al de zoveelste keer dat profielen openbaar gemaakt kunnen worden. Vele malen zullen volgen. Iedereen blijft gewoon domweg (prive)gegevens plaatsen, veilig of niet. Het maakt de gebruikers allemaal geen moer uit.

Pathogen @Neko Koneko • 13 maart 2013 12:48

Hij geeft de hacks netjes aan bij Facebook, én Facebook lost de kwetsbaarheid vervolgens op. Geen enkele reden voor een arrestatie lijkt me.

Overigens durf ik niet op links naar zijn site te klikken nu...

[Reactie gewijzigd door Pathogen op 28 juli 2024 11:30]

biglia @Wasp • 13 maart 2013 13:44

Facebook staat er om gekend om heel agressief op te treden. Bij het minste krijg je al een brief van hun advocatenbureau. Je moet maar eens googlen.

Verwijderd 13 maart 2013 13:07

Tja, het is nu eenmaal belangrijker om op ieder hoekje reclame te plaatsen en winst te maken. Ik hoop dat de EU eens (miljoenen)boetes gaat uitdelen aan bedrijven wiens beveiliging te kort doet.

kozue

Facebook

@Verwijderd • 13 maart 2013 14:01

Je kan niemand een boete geven voor beveiligingsgaten. Iedere software bevat fouten. Het is netjes dat ze het op hebben gelost. Andere bedrijven laten het gewoon liggen tot de volgende maand omdat de patchdag al is geweest...

Powermage 13 maart 2013 13:12

Er kan ook gewoon op DNS niveau een 'catch all' ingesteld zijn
dus alles wat voor .facebook.com staat word gewoon globaal doorgestuurd nar de loadbalancers.

kozue

Facebook

@Powermage • 13 maart 2013 14:03

Nee dat kan niet. Dat kun je zelf controleren met simpele dns requests:
$ host facebook.facebook.com
facebook.facebook.com is an alias for www.facebook.com.
(...)
$ host blablabla.facebook.com
Host blablabla.facebook.com not found: 3(NXDOMAIN)

Batiatus 13 maart 2013 17:00

Hij heeft een juiste manier van melden gedaan. Op deze manier zullen bedrijven alleen maar blij zijn met deze white hat hacker. Als ik CISO was van een bedrijf zou ik de man ook nog een bonus proberen te geven, zolang hij de gegevens maar niet openbaar maakt.

Wel raar dat hij meerdere keren de Facebook authenticatie heeft kunnen omzeilen.

Verwijderd @Batiatus • 13 maart 2013 18:11

Nog steeds gray hat, ook al doet hij het netjes

ieperlingetje 13 maart 2013 19:46

Ik snap wel niet hoe je via hekjes een exploit kunt hebben, die worden volgens de HTTP specificatie normaal toch niet naar de server verzonden ? http://en.wikipedia.org/wiki/Fragment_identifier

cbravo2 @ieperlingetje • 13 maart 2013 21:23

Hij gebruikt een %23 ipv een echt #-je.

Verwijderd 13 maart 2013 12:47

Hij heeft een kwetsbaarheid waar Facebook anders niet achter was gekomen niet misbruikt en netjes gemeld. Geef die man 10.000 dollar of zoiets

biglia @Verwijderd • 13 maart 2013 14:25

Als hij het had misbruikt, kon hem dat makkelijk 1000$/dag opgebracht hebben. Uiteraard was dat niet netjes geweest.

Giftcard 13 maart 2013 13:07

@ChicaneBT. Denk dat de beste man veel meer krijgt dan 10.000USD, als je dit naast de uitkering legt die bijv bij Pwnium uitgekeerd werd voor een gat in Java (20.000USD), en hij heeft het twee keer voor elkaar gekregen, dat is helemaal het geld waard!

Dit is trouwens een schitterend voorbeeld voor de nederlandse regering mbt etisch hacken, de regering zou deze man uit moeten nodigen en zijn verhaal als basis gebruiken voor de wetgeving rond etisch hacken ipv het zelf vanuit het een helicopter view te verzinnen.
De regering zou niet alleen de hacker uit moeten nodigen maar ook Facebook, de reactie van Facebook is ook noemenswaardig en tevens ook een belangrijkpunt binnen het "etische hacken" om die wet ook te laten slagen!

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (34)

Sorteer op:

Weergave: