Archives du mot-clé facebook

Une backdoor découverte sur un serveur de Facebook

Via /r/NetSec :

C’est dans le cadre du bug bounty de Facebook qu’un pentester s’est retrouvé sur un serveur interne de Facebook en exploitant une faille qu’il a trouvée dans un logiciel tiers.

En listant les dossiers du serveur il est tombé sur une backdoor php minimaliste prouvant qu’il n’était pas le premier à pénétrer le serveur.

Le ou les précédents visiteurs avaient aussi placé un pass-logger pour récupérer des comptes d’employés de l’entreprise.

Instagram : quand la chasse aux bugs tourne mal

Via /r/NetSec, NEXTINpact :

Un expert sécurité habitué des bug bounty s’est penché sur un serveur Instagram / Facebook suite à un tuyau d’une connaissance.
Le serveur faisait tourner une appli sous Ruby on Rails baptisée Sensu. Il s’est avéré que la seed cryptographique de l’application n’avait pas été changée de sa valeur par défaut permettant ainsi de générer des données de session valides et exploiter des faiblesses bien connues de RoR (expliquées dans ce très bon article sur phrack.org) pour faire exécuter du code Ruby.

Le chercheur a ainsi pu récupérer un shell sur ce serveur (qui n’aurait d’ailleurs pas du être accessible à tous) et a soumit le bug au programme de bounty de Facebook.

Se demandant s’il pouvait creuser un peu plus avec l’accès obtenu il s’est penché sur les règles imposées par Facebook sur la recherche de failles et leur exploitation et n’a rien relevé à ce sujet (les règles demandent seulement que la vie privée des utilisateurs et la bonne santé du service soient conservés).

De fichier de conf en comptes trouvés il est finalement parvenu sur une instance AWS S3 sur laquelle se trouvait tous les secrets d’Instagram (certificats, passwords d’API, code source…)

Ça n’a pas du tout plus à Facebook qui a refusé de payer le bounty sous le prétexte foireux de violer la vie privée des utilisateurs (ce qui n’a pas été le cas) et qui aurait fait pression sur l’employeur du chercheur…

Pour Facebook le code de bonne conduite consiste à s’arrêter dès qu’une vulnérabilité est découverte. Seulement ce n’est pas indiqué dans leurs règles alors que c’est le cas chez Google, Microsoft, etc…

DDoS : LizardSquad a t’il fait tomber Facebook ?

Via HN :

Différents sites très fréquentés (Facebook, Instagram, Tinder) étaient aux abonnés absent ce matin. Le groupe Lizard Squad revendique l’attaque qui aurait visé l’hébergeur de contenu Akamai sur lequel se trouve les CSS et JS de Facebook, rendant ainsi le site impraticable.

Pour le moment pas plus d’infos mais si c’est avéré c’est un coût dur pour Akamai.

EDIT : Démenti par Facebook

Simulation d’intrusion chez Facebook

Ars Technica décrit les événements qui se sont passés en interne chez Facebook lors d’une simulation « grandeur réelle » d’une intrusion informatique avec du personnel non-informé et l’utilisation d’un exploit 0day pour pénétrer le réseau.

L’article décrit aussi d’autres cas de pentest ayant touché des entreprises, notamment une boîte de pentest qui a découvert un accès ouvert aux webcams de l’entreprise et a pu filmer les employés quand ils tapaient leur mot de passe :p

News en vrac

Coka-Cola piraté. Les intrus cherchaient visiblement des documents sensibles concernant la tentative de rachat du groupe chinois Huiyuan Juice.
Techniques utilisées : spear-fishing et documents PDF piégés.
Bientôt un Gangnam-Cola ?

Une faille sur Facebook permettait d’avoir accès à certains comptes sans passer par une phase d’authentification.
Plus d’un million de liens donnant chacun accès à un compte ont ainsi été postés sur Hacker News.
La faille a été rapidement corrigée.

Le retour de GhostShell : la team leake ce qu’elle affirme être 2.5 millions de comptes du gov russe, principalement des comptes de messagerie.

Cyber-attaque sur un casino : les 14 personnes arrêtés avaient trouvé une faille dans le protocole de sécurité des transactions électroniques de Citibank.
L’attaque nécessitait de retirer du cash simultanément sur des kiosques dans une intervalle d’une minute (d’où le nombre de personnes arrêtées).
1 millions de $ pour 60 secondes retirés avant que le système ne fasse ses comptes…

Les données que Facebook donne au FBI

Sur le Boston Phoenix on peut se faire une idée des infos que récupère Fabebook sur ses utilisateurs :
Dans le cadre de l’affaire du tueur de Craiglist, le site a pu mettre la main sur le dossier renvoyé par Facebook sur le tueur à la demande du FBI…

Messages de status, photos privées, messages échangés, adresse IP, cookies et log HTTP… une sacré quantité d’infos.