Facebook permite el descubrimiento
de los usuarios a través de su número de teléfono indicado. Sin embargo
ningún control es presentes para restringir a los usuarios de los
usuarios que descubren que tienen su número de teléfono oculto o
restringir a un cierto grupo de personas / usuarios.
Impacto:
Un atacante con una cuenta falsa puede realizar un ataque de fuerza bruta en facebook para cosechar los usuarios y otros detalles mencionados en su perfil y mapa con los números de teléfono registrados.
Descripción detallada:
Ejemplo en el que una búsqueda del número de células "+ 91-9573522388" ha llevado al descubrimiento del perfil.
Nota: En este caso, este perfil es un perfil falso que pertenece a "Sanjeev Sharma".
Al ver la sección "Acerca de" para el usuario específico (en este
caso me voy a ver su propia identificación falsa que he creado),
Ahora vamos a hacerlo por algún número al azar, digamos 919999999475 (para la que no tengo ningún acceso y la número está oculto o privado. Verificaremos de perfil del usuario si el número de teléfono es visible después.
Por la herramienta forzar bruta, este número de teléfono pertenece a algún Roopali Khosla con UID = 100001633806991
Nota: El número de teléfono ha sido seleccionado al azar.
Ahora vamos a ver su perfil a cabo,
PD Este ataque puede ayudar a varios tipos de ataques de phishing Ingeniería Social / Spear sobre el usuario.
PNothing. En ninguna parte es el número de teléfono celular "919999999475" que aparece en su perfil.
Vamos a ver lo que TrueCaller tiene que decir sobre esto.
¡Bingo!
Al llegar detalle de su perfil desde la solicitud gráfico el UID de 100001633806991 también coincide.
Ahora se ejecuta un script que inicia desde 919999999999 919000000000 hasta
DESCARGAR SCRIPT:
https://mega.co.nz/#!85EyjaoY!_8pOEYiLa-VeGDQC58NNfG9wNzeRs_iCDqO4UaV0Pok
KelvinSecurityTeam
Fuente: http://hardc0dexploit.blogspot.com.ar/2015/02/facebook-graph-search-permite-fuerza.html
No hay comentarios:
Publicar un comentario