Skype en Dropbox dichten lek dat toegang tot Facebook-accounts gaf - update

De white-hat-hacker Nir Goldshlager heeft een methode ontwikkeld om via Skype en Dropbox toegang te krijgen tot elk Facebook-account dat met een van beide diensten gekoppeld is. Skype en Dropbox hebben de gaten ondertussen gedicht.

Goldshlager liet aan TechCrunch weten hoe de hack in elkaar steekt. De hack maakt gebruik van open redirect vulnerabilities waarvoor zowel dropbox.com als metrics.skype.com gevoelig bleken. Hierbij konden met behulp van het Facebook User ID van een gebruiker die Skype of Dropbox gekoppeld heeft, de access-tokens van die Facebook-apps overgenomen worden.

Door de juiste url, met redirect naar een eigen website, in te toetsen achter het Dropbox- of Skype-domein, zou de hacker de access-tokens naar zijn eigen domein kunnen sturen. Er bleek geen validatie te zitten op de redirect-link. Met behulp van de tokens kan een hacker geen volledige toegang tot een Facebook-account krijgen. De hacker kan wel de rechten krijgen die de apps gekregen hebben, zoals het posten op een wall en het inzien van persoonlijke informatie. Skype, Dropbox en Facebook hebben gemeld dat de beveiligingsgaten inmiddels gerepareerd zijn. Goldshlager heeft nog niet zelf bekend gemaakt hoe de hack in elkaar steekt, waarschijnlijk zal hij de hack binnen enkele dagen publiceren op zijn blog.

Facebook Like-knopHet is niet de eerste keer dat Goldshlager Facebook hackt. In maart 2013 wist de hacker Facebooks OAuth-authenticatie te omzeilen, nadat hem dat eind februari ook al eens was gelukt. Bij de vorige hack wist Goldshlager ook een kwetsbaarheid in redirects op Facebook uit te buiten.

Nir Goldshlager is een white-hat-hacker en rapporteert beveiligingsproblemen die hij opspoort bij de websites in kwestie. De hacker staat al twee jaar op de 'bedanklijst' van Facebook vanwege het aantal lekken dat hij heeft opgespoord.

Update, 14:25 donderdag 4 april: Naar aanleiding van de reactie van TTIelu enkele wijzigingen aangebracht.

Door Jelle Stuip

Redacteur

Feedback • 04-04-2013 10:57 15

04-04-2013 • 10:57

15

Lees meer

Dropbox

geen prijs bekend

4.5 van 5 sterren
Dropbox: uitgelekte gebruikersgegevens zijn oud en niet afkomstig van hack
Dropbox: uitgelekte gebruikersgegevens zijn oud en niet afkomstig van hack Nieuws van 14 oktober 2014
Dropbox reset gedeelde links om 'beveiligingsprobleem'
Dropbox reset gedeelde links om 'beveiligingsprobleem' Nieuws van 6 mei 2014
Nederlands bedrijf belooft 'veilig' alternatief voor Dropbox
Nederlands bedrijf belooft 'veilig' alternatief voor Dropbox Nieuws van 28 november 2013
Dropbox-api laat apps gegevens synchroniseren via opslagruimte van gebruiker
Dropbox-api laat apps gegevens synchroniseren via opslagruimte van gebruiker Nieuws van 9 juli 2013
Dropbox kampt met grootschalige storing - update
Dropbox kampt met grootschalige storing - update Nieuws van 30 mei 2013
Hackers ontvreemden wachtwoorden Scribd-gebruikers
Hackers ontvreemden wachtwoorden Scribd-gebruikers Nieuws van 5 april 2013
Beveiligingsexpert kreeg weer volledige toegang tot Facebook-accounts
Beveiligingsexpert kreeg weer volledige toegang tot Facebook-accounts Nieuws van 13 maart 2013
Facebook tijdelijk onbereikbaar in Europa na ddos-dreigingen
Facebook tijdelijk onbereikbaar in Europa na ddos-dreigingen Nieuws van 7 maart 2012
Britse student krijgt acht maanden cel wegens hacken Facebook
Britse student krijgt acht maanden cel wegens hacken Facebook Nieuws van 17 februari 2012
Facebook: er zijn geen problemen met privéfoto's
Facebook: er zijn geen problemen met privéfoto's Nieuws van 19 mei 2011
Studenten ontfutselen Facebook-gegevens met 'imitatie-hack'
Studenten ontfutselen Facebook-gegevens met 'imitatie-hack' Nieuws van 3 februari 2011
Amerikaan gebruikte Facebook-informatie om e-mailaccounts te kraken
Amerikaan gebruikte Facebook-informatie om e-mailaccounts te kraken Nieuws van 15 januari 2011
Facebook lekte privégegevens gebruikers
Facebook lekte privégegevens gebruikers Nieuws van 6 mei 2010
Meer producten en artikelen
Systeem- en netwerkutility's Skype Facebook Hack

Reacties (15)

-Moderatie-faq
15
15
10
2
1
2
Wijzig sortering
TTIelu 4 april 2013 11:20
Dit artikel bevat een aantal fouten:

"Hierbij konden met behulp van het Facebook User ID van een gebruiker die Skype of Dropbox gekoppeld heeft, zowel het e-mailadres en het wachtwoord van het Facebook-account achterhaald worden."

- Er wordt geen gebruik gemaakt van facebook user id's. Om deze exploit te laten werken moet een gebruiker op de link klikken/openen die de hacker in het filmpje uit notepad kopieerd. (deze fout staat ook in het techcrunch artikel)
- Er is geen toegang tot het wachtwoord van de facebook account. Enkel tot de access token waarmee er bepaalde acties uitgevoerd kunnen worden op de facebook account, zoals posten op de wall.

"Door de juiste url, met redirect naar een eigen website"

Met eigen website is niet helemaal juist, voor dropbox wordt er gebruik gemaakt van een html bestand in de publieke folder welke de cookie doorstuurd naar een ander domain. Voor skype wordt er gebruik gemaakt van een redirect bug in de officiële skype redirect url.

"Zowel Dropbox als Skype bleken niet te valideren naar welk domein de redirect vanaf hun website liep."

Again, niet helemaal waar. Voor dropbox is het eerder de fout van facebook, welke toelaat dat er enkel een domein wordt opgegeven in plaats van een effectieve url (ea: www.dropbox.com ipv www.dropbox.com/oauth2/auth)
xrf @TTIelu5 april 2013 00:00
<quote>"Again, niet helemaal waar. Voor dropbox is het eerder de fout van facebook, welke toelaat dat er enkel een domein wordt opgegeven in plaats van een effectieve url (ea: www.dropbox.com ipv www.dropbox.com/oauth2/auth)\"</quote>

Als de URL binnen dezelfde origin valt, bijvoorbeeld https://dropbox.com/malicious_file en https://dropbox.com/oauth2/auth kan dit omzeild worden door gebruik te maken van de nieuwe feature history.replaceState.
Shark.Bait 4 april 2013 11:02
white hat hacker? is dat wat de pro's een "hacker" noemen? (in tegenstelling tot een "cracker".
Jermaine @Shark.Bait4 april 2013 11:28
Het Klokhuis legt het je kinderlijk eenvoudig uit :)
Verwijderd @Shark.Bait4 april 2013 11:05
Een white hat hacker die hackt met een goede bedoeling. M.a.w Hij zoekt een zwakte in de beveiliging en geeft vervolgens een oplossing of maakt er zelf een voor. Vandaar dus de naam White hat

- ontopic

Dit zijn dus redenen waarom ik mjin facebook of eigenlijk mijn alles met niks koppel.
Zethiel @Shark.Bait4 april 2013 11:06
Nee, dit is iemand die het eerst bij de bedrijven waar het om gaat meld zodat deze het kunnen aanpassen voordat deze het openbaart, een white hat hacker is dus iemand die daarmee de beveiliging van bepaalde software/websites etc wil verbeteren en deze lekken niet wil misbruiken.

Bron : http://en.wikipedia.org/w...t_%28computer_security%29
Megamind @Shark.Bait4 april 2013 11:04
Ja, http://en.wikipedia.org/w...t_%28computer_security%29
David Mulder 4 april 2013 11:04
De hacker staat al twee jaar op de 'bedanklijst' van Facebook vanwege het aantal lekken dat hij heeft opgespoord.
Hij staat er al voor 2013 (eerste plaats), 2012 (eerste plaats) en 2013 (tweede plaats) en dat zijn er volgens mij 3 :P .

Maja, best een pijnlijk lek, vooral als ik het vergelijk met de complexiteit van de vorige paar die ik heb gelezen (dit is echt vreselijk simpel om op te zetten en uit te voeren als ik hem goed begrijp (techcrunch heeft nog niet alle details gepublished, dat komt pas morgen op de blog van Nir als ik het goed begrijp).
thegve @David Mulder4 april 2013 12:56
We zitten nu nog in 2013, dus al hij sinds 2011 (neem aan dat je laatste voorbeeld een typo was), dan staat hij nu nu 2 jaar op die lijst, nu voor de derde keer.
HolaGanz 4 april 2013 12:21
Daarom, nooit je Facebook-account gebruiken als inlog op andere websites! Dan heb je hier sowieso geen last van.

Maar goed dat het op een nette manier opgelost is!
telenut @HolaGanz4 april 2013 15:01
Als andere websites/toepassingen toegang vragen tot uw facebook gewoon toestaan en toegang beperkten tot "alleen ik" helpt ook.
Want door het hacken van die toepassingen krijgt men enkel de rechten die de toepassing had. Zo weinig mogelijk rechten geven aan die toepassingen dus.
supersnathan94 4 april 2013 11:03
Nir Goldshlager is een white-hat-hacker en rapporteert beveiligingsproblemen die hij opspoort bij de websites in kwestie. De hacker staat al twee jaar op de 'bedanklijst' van Facebook vanwege het aantal lekken dat hij heeft opgespoord.
kijk zo kan het dus ook. respect voor deze man dat hij zo zijn tijd nuttig besteed voor het algemeen welzijn van de hele facebook community. Bij bedrijven als Dropbox en microsoft(de nieuwe skype) verwacht ik toch wel een degelijk beveiliging. nu ben ik er van skype niet heel erg van onder de indruk, maar van dropbox had ik dit niet verwacht.

Goed van facebook dat hij en honderden anderen ook bedankt worden en niet aangeklaagd oid.
Nir Goldshlager heeft de afgelopen drie jaar enkele tientallen kwetsbaarheden gevonden en gerapporteerd en staat daarom ook al drie jaar lang bovenaan in de jaarlijkse bedanklijst.
himlims_ 4 april 2013 11:00
toch mooi he, dat single-sign-on :X
Olaf van der Spek @himlims_4 april 2013 11:42
In principe wel, maar volgens mij kan het beter via de browser gedaan worden dan met dit soort vage technieken.
Verwijderd 5 april 2013 12:10
Ik heb Nir een tijd geleden ontmoet in zijn bedrijf in Herzliya, Israel. Een heel sympathieke man.

Maar goed, het is daar een echte internationale tech-hub. Je hebt in Israel honderden bekende (white-hat) hackers.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq