0
cara hack account facebook dengan ponsel
Posted by Unknown
on
21.26
in
technology
Beberapa waktu lalu, seorang Ahli Keamanan yang berada di Inggris dengan nama Jack Whitton
a.k.a "fin1te" telah menerima $20.000 setelah berhasil membongkar salah
satu celah keamanan facebook yang sangat rentan hanya dengan
menggunakan telepon genggam Anda dengan menggunakan fasilitas Facebook
SMS.
Menarik Bukan?
Uang senilai $20.000 diberikan Facebook karena dianggap celah yang ditemukannya sangat berbahaya bagi "kerajaan bisnis jejaring sosial" ini. Setelah disimulasikan, kita dapat mengambil alih (mencuri) akun seseorang hanya dalam waktu kurang dari 60 detik.
Jika kita menghitung waktu aksi hanya dalam 60 detik pasti tidak akan masuk akal. Mungkin awalnya kita berpikir Facebook SMS hanya digunakan untuk update status via SMS. Tapi tahukah Anda? sebenarnya kita telah memiliki informasi data yang tersimpan yaitu Email dan Nomor pribadi kita (yang digunakan untuk login ke facebook). Mungkin karena itu pula, jutaan baris kode pada Facebook SMS ini memiliki celah keamanan yang bernilai $20.000.
Percobaan yang dilakukan adalah mengganti parameter profile_id dengan profile_id orang lain (misalnya target Anda) dan setelah dilakukan tidak memberikan error apapun dengan kata lain hal ini diperbolehkan. Disinilah pintu emas yang digunakan fin1te untuk mengantongi uang sebesar $20.000.
Untuk menggunakan celah ini, langkah awal yang harus kita lakukan adalah mengirimkan pesan FB ke nomor 32654 (nomor ini berbeda-beda di masing-masing negara). Setelah itu, kita akan menerima kode verifikasi yang terdiri dari 8 karakter.
Masukkan kode tersebut pada form aktivasi (klik disini), dan pada Code View, rubah elemen profile_id yang berada didalam fbMobileConfirmationForm.
Merubah value pada elemen profil_id melalui fitur Inspect Element yang terdapat pada browser (Chrome & Mozilla).
Jika Anda kesulitan untuk mencari profil ID, Anda dapat menggunakan tools http://findmyfacebookid.com dan Anda hanya cukup memasukkan profil URL.
Setelah merubah elemen profil_id target, kirimkan Confirm untuk mengirimkan data yang sudah dimodifikasi dengan memastikan kesesuaian data yang dikirimkan melalui data Headers.
Dan dalam beberapa detik, facebook akan mengirimkan informasi bahwa kita telah dikonfirmasi untuk menggunakan Facebook Mobile.
Akun
facebook target telah sepenuhnya siap dikuasai tanpa menggunakan teknik
hacking yang sulit seperti Malware atau Phishing. Pencurian akun ini
hanya dilakukan dengan menggunakan SMS.
Langkah akhir untuk mengeksekusi akun target adalah dengan cara mengirimkan Fitur Reset Password yang juga tersedia pada Facebook Mobile (tentunya kita sudah login ke dalam Facebook mobile menggunakan cara diatas). Dan hanya dalam hitungan detik, facebook akan memberikan "pisau tajam" untuk merobek akun target.
It's
super easy step right? Penemuan cara sederhana tapi mematikan ini
sangat mengancam sistem keamanan facebook, sehingga fin1te seharusnya
bisa mendapatkan lebih dari $20.000 atas jasanya ini.
Menarik Bukan?
Uang senilai $20.000 diberikan Facebook karena dianggap celah yang ditemukannya sangat berbahaya bagi "kerajaan bisnis jejaring sosial" ini. Setelah disimulasikan, kita dapat mengambil alih (mencuri) akun seseorang hanya dalam waktu kurang dari 60 detik.
Jika kita menghitung waktu aksi hanya dalam 60 detik pasti tidak akan masuk akal. Mungkin awalnya kita berpikir Facebook SMS hanya digunakan untuk update status via SMS. Tapi tahukah Anda? sebenarnya kita telah memiliki informasi data yang tersimpan yaitu Email dan Nomor pribadi kita (yang digunakan untuk login ke facebook). Mungkin karena itu pula, jutaan baris kode pada Facebook SMS ini memiliki celah keamanan yang bernilai $20.000.
Apa yang diungkap fin1te?
seperti yang telah didokumentasikan Jack Whitton pada blognya dengan judul "HIJACKING A FACEBOOK ACCOUNT WITH SMS", kelemahan kode terdapat pada end-point /ajax/settings/mobile/confirm_phone.php. Sebenarnya hal ini membutuhkan banyak parameter agar dapat berfungsi secara maksimal, tapi hal utama yang harus diperhatikan adalah kelemahan <code> dimana kode verifikasi kita terima melalui handphone dan juga profile_id yang juga menghubungkan nomor aku kita.Percobaan yang dilakukan adalah mengganti parameter profile_id dengan profile_id orang lain (misalnya target Anda) dan setelah dilakukan tidak memberikan error apapun dengan kata lain hal ini diperbolehkan. Disinilah pintu emas yang digunakan fin1te untuk mengantongi uang sebesar $20.000.
Let's do it!!!
Untuk menggunakan celah ini, langkah awal yang harus kita lakukan adalah mengirimkan pesan FB ke nomor 32654 (nomor ini berbeda-beda di masing-masing negara). Setelah itu, kita akan menerima kode verifikasi yang terdiri dari 8 karakter.
Langkah akhir untuk mengeksekusi akun target adalah dengan cara mengirimkan Fitur Reset Password yang juga tersedia pada Facebook Mobile (tentunya kita sudah login ke dalam Facebook mobile menggunakan cara diatas). Dan hanya dalam hitungan detik, facebook akan memberikan "pisau tajam" untuk merobek akun target.
Posting Komentar