Commentaires sur : Faille dans Facebook

Par : Mamitaz

Mamitaz — Wed, 29 Dec 2010 15:21:12 +0000

Salut!

j’aimerai savoir, ya til un moyen de voir le mur et les photos des personnes avec qui nous ne sommes pas amis?

et comment obtenir le mot de passe d’une personne qui est dans un autre pays?(donc je n’ai pas acces a son pc!)
merci de vos reponses !

Par : collignon

collignon — Sun, 28 Nov 2010 18:17:26 +0000

Comment faire pour prouver a ma femme que mon compte a ete pirater?

Par : collignon

collignon — Sun, 28 Nov 2010 18:16:17 +0000

Et comment faire pour prouver a mon epouse que le compte a ete pirater?

Par : collihnon

collihnon — Sun, 28 Nov 2010 18:13:23 +0000

Es ce que korben est vraiment definitif pour supprimer mon compte pirater?

Par : facebook devient dingue

facebook devient dingue — Sun, 28 Nov 2010 16:43:26 +0000

Le site comprend trop de beug en fait, alors avec autant de personnes dessus, ils pourraient faire un effort !

Par : Vendredi Fail – Facebook | Skynewt Blog

Vendredi Fail – Facebook | Skynewt Blog — Fri, 08 Oct 2010 17:42:37 +0000

[...] : en mai dernier déjà, une faille énorme avait aussi été découverte. D’autres failles ici, ici et ici, assez importantes elles [...]

Par : Beslay Cyril

Beslay Cyril — Wed, 05 May 2010 15:54:50 +0000

Rageant de faire le même billet que toi quelques minutes plus tôt, et de te voir premier sur Google.
Enfin c’est le jeu

Par : Morphix

Morphix — Tue, 20 Apr 2010 16:46:05 +0000

« It’s not a bug, it’s a feature ! »©

Du moins, j’imagine ça ainsi car cette faille n’est toujours pas corrigée

Par : easymomo

easymomo — Tue, 27 Oct 2009 08:53:20 +0000

Toujours pas corrigée ! Ce genre de faille devrait être une (méga) priorité

Par : Actu-Geek

Actu-Geek — Mon, 26 Oct 2009 15:24:43 +0000

Paf le chien a été créé par des tordus Valenciennois…

Par : hichamsoft

hichamsoft — Mon, 26 Oct 2009 14:44:35 +0000

@Félix Aimé: Intéressant l'article, et tout se que je peut dire c'est que les utilisateurs lambda de FaceBook sont servi sur un plateau au pirate et bien sure son qu'il ne le sache.

Par : Félix Aimé

Félix Aimé — Mon, 26 Oct 2009 12:55:47 +0000

@hichamsoft: S’ils ne créent pas de communautés libres de développeurs c’est tout simplement que c’est eux qui ramassent le fric grâce aux applications générées par quelques tordus. Franchement, je ne vois pas comment des gens défendant le libre pourraient travailler bénévolement pour des firmes qui vont tuer l’idéal que l’on se faisait du web. (faut vraiment aimer les paradoxes.)

connaissant l’éventail de types données pouvant être envoyées à des applications => Les applications peuvent comme n’importe quelle application web avoir la possibilité de recevoir non pas que des requêtes full texte mais aussi des fichiers. A partir de là, on peut réfléchir à beaucoup de vecteurs d’attaques. (Si tu veux, on en parle en privé.)

Voilà, on peut passer des données qui sont contenues dans des fichiers et après, l’application les traite, dans ce cas là, les WAF traditionnels ne servent strictement à rien car ils analysent les données envoyées. De plus, les WAF mal paramétrés peuvent êtres bypassables.

Une récente étude à d’ailleurs démontrée que dans le top 10 des applications les plus utilisés sur Facebook, 6 étaient vulnérables et on juge à quelques 9700 applications vuln en ce moment. Voir là :

http://www.mxlogic.com/securitynews/identity-theft/facebook-application-security-hole-exposes-millions-to-hacking-researcher-says160.cfm

Il est impossible à Facebook de protéger ses membres si une partie du SI qui la compose (les applications) sont transférées sur des serveurs dont elle ne possède pas la main (souvent d’ailleurs, les applications sont sur des mutualisés, ce qui complique encore plus la chose) Il est alors facile pour n’importe quel pirate ayant tant soit peu d’expérience de pénétrer le serveur des de changer la configuration de l’application visée. (sans oublier de voler quelques données aux membres au passage.)

Par : hichamsoft

hichamsoft — Mon, 26 Oct 2009 11:48:39 +0000

@Félix Aimé: Pour la source « http://www.packetstormsecurity.org/0910-exploits/facebook-redir.txt » je l’ai déjà donnée à Korben et en dirais qu’on tombera jamais d’accord FaceBook est une société des plus connus mondialement et de ceux qui gagne plain d’argent alors ne va pas me dire qu’il non pas les moyens d’avoir plus de développeurs, il faut plu tau dire qu’il n’en veulent pas plus pour garder leur gains. Si non dit moi pourquoi ne crée t’il pas une communauté libre genre les communautés Linux ex… pour faire le sale boulot ?

Explique : connaissant l’éventail de types données pouvant être envoyées à des applications.

Par : Anonym

Anonym — Mon, 26 Oct 2009 09:48:53 +0000

FaceBook cay de la merdeuh… à la limite c’est bien fait pour les utilisateurs ^^

Par : Félix Aimé

Félix Aimé — Mon, 26 Oct 2009 07:23:48 +0000

@hichamsoft: Dès que FaceBook est alerté d’une vulnz dans une appli et bien la société contacte l’auteur de l’appli. Encore faut-il contacter FaceBook, car bon, vous râlez beaucoup mais qui d’entre nous l’a contacté pour cette seule « vulnérabilité » ?

Deuxième point, FaceBook a aujourd’hui plus de 250 millions d’utilisateurs, et des dizaines de milliers d’applications (dont certaines oubliées et vulnérables), il ne peut pas y avoir assez d’employés pour s’occuper simplement de la sécurité des applications c’est donc pour cela qu’il y a un temps d’attente considérable entre le moment où FaceBook est contacté et le moment ou la vulnz est patchée (sans compter la dispo du dev’ de l’application).

N’oublions pas que certaines personnes réalisent des application sous-couvert d’anonymat donc il est impossible de joindre les auteurs de ses dernières, elles sont donc (je pense) désactivées.

Certes, FaceBook pourrait mettre en place pour ces applications un système de WAF. Cependant, il sera difficile de réaliser un WAF connaissant l’éventail de types données pouvant être envoyées à des applications. La mise en place de solution de la sorte pourrait aboutir à de nombreux risques de faux-positifs (et je ne parle pas des données qui sont envoyées directement à l’application, sans êtres filtrées par les serveurs de la firme).

Il faudrait par ailleurs dans l’article faire un lien vers le PoC original http://www.packetstormsecurity.org/0910-exploits/facebook-redir.txt posté par un certain « 599eme Man » le 23 octobre dernier.

Par : hichamsoft

hichamsoft — Mon, 26 Oct 2009 01:07:36 +0000

J’ai pas dit qu’il devrai vérifier chaque apli mais qu’au moin si une apli est reconnus vulnérable (et en plus publiquement) il faudrait la désactivé. Et pui prenons l’exemple de Firefox 3.6 qui met en places un système qui déactive les plugins vulnérables ou instables, c’est de sa que je parle.

De plus en disant mordu du phishing… je voulais surtout dire savoir comment sa marche est non pas l’utilisation vilaine

Par : Félix Aimé

Félix Aimé — Sun, 25 Oct 2009 22:31:33 +0000

@hichamsoft: Je ne suis en aucun cas mordu de phishing ou de scam, j’ai d’autre chose à faire de ma vie que d’em**** celle des autres. Je suis passionné de sécurité, c’est tout.

FaceBook met tout en œuvre pour la sécurité de ses utilisateurs. Cependant, au nombre d’applications mises en ligne chaque jour, il leur est impossible de toutes les vérifier. Seules des chartes de bonnes conduites peuvent êtres mises à disposition des dev’s. (Il doit surement en exister, j’ai pas fait le tour…

Après, qui râlera le premier si ils doivent les vérifier une par une ? Les devs ou les utilisateurs ?

Par : hichamsoft

hichamsoft — Sun, 25 Oct 2009 22:16:27 +0000

@Félix Aimé: Je suis d'accord avec vous sur le point que se soit les apli tiers qui son vulnérable, mais qui dit apli vulnérable dit FaceBook vulnérable. FB doit au moin savoir si cette apli ou une autres est vulnérable est la désactivé et demander au développeur de corriger, de plus ne va pas croire que tout les gens son comme toi ou moi des mordues du phishing, du scam ... Cette simple redirection peut faire de grand ravage si on sait s'en servir.

Par : Nementon

Nementon — Sun, 25 Oct 2009 20:41:34 +0000

@hichamsoft & all : La « faille » on peut dire à été en elle même corrigé, il y à 4jours encore, (Merci à tout ceux qui l’on dévoilé :fou, l’on pouvez injecter du code html, dans la variable next, pour remplacer le contenu de l’apli Facebook visé et ainsi, faire un beau phishing, d’ailleurs, pour rendre à césar ce qui est ai à césar, faille a été découverte par theman599 il me semble =)

Par : ILP

ILP — Sun, 25 Oct 2009 20:12:16 +0000

Ils affichent quand même un message pour les liens du style :
http://www.facebook.com/l.php?u=%68%74%74%70%3A%2F%2F%77%77%77%2E%65%78%61%6D%70%6C%65%2E%63%6F%6D%2F

Par : Félix Aimé

Félix Aimé — Sun, 25 Oct 2009 19:43:31 +0000

Ce n’est pas FaceBook qui est vulnérable mais juste l’appli. Ce n’est un secret pour personne que les applications soient vulnérables à différentes attaques et que ces applications sont souvent développés par des manchots n’y connaissant rien à la sécurité. Il n’y a aucun scoop dans cette dernière « faille », surtout qu’elle ne permet qu’une redirection. Donc le titre « Faille dans FaceBook » ne représente pas du tout l’emplacement même de la faille.

Le plus vulnérable dans les services web ce ne sont pas les services eux-mêmes mais les applications tierces se servant de leur API. Comme dirait un certain stratège, pourquoi attaquer les villes alors que les fermes servent à approvisionner l’ennemi ? (dans le cadre d’une guerre d’usure)

C’est exactement le même principe avec les API, ce sont des gruyères et le juste milieux est difficile à trouver entre interaction réelle entre les comptes utilisateurs et la sécurité de ces derniers.

Ça me fait marrer les gens qui mouillent pour une simple redirection. Alors qu’il y a bien plus grave en possibilités de nuisances utilisant l’API de FaceBook.

Par : coyotus

coyotus — Sun, 25 Oct 2009 19:12:20 +0000

ça reste moins grave qu’une faille qui permettais de rentrer sur les compte sans avoir le mot de passe, qu’il ont mis 3 mois à corriger

Par : Une faille Facebook | INFORMAGEEK

Une faille Facebook | INFORMAGEEK — Sun, 25 Oct 2009 19:04:48 +0000

[...] à vous, amis Facebookiens et Facebookiennes . D’après HichamSoft sur Korben, il y aurai une faille incroyable dans certaines applications qui permettrai au développeur de [...]

Par : hichamsoft

hichamsoft — Sun, 25 Oct 2009 18:27:20 +0000

Se qui me fais le plus flipper c’est que la faile fonctionne toujours, question sécurité ils sont rapide chez FaceBook ou devrai je dire FakeBook

Par : Da Scritch

Da Scritch — Sun, 25 Oct 2009 18:21:30 +0000

En même temps, Facebook, c’est un internet privé, l’intérêt est franchement relatif, et le respect de la vie privée, ils en ont strictement rien à branler.

Vous vous rappelez que si vous construisez une API, vous pouvez savoir ce que le compte a acheté sur Amazon, les contacts de ses amis, ses centres d’intérêts, etc…. comment ça, vous saviez pas ?

Par : Rash

Rash — Sun, 25 Oct 2009 18:16:21 +0000

Génial !

Je vais proposer mes services de « hacking de compte fb d’ex pas cool » contre du sexe.

Par : Fardeen

Fardeen — Sun, 25 Oct 2009 15:04:50 +0000

Ca a toujours été comme ca depuis le début. Et ca va pas changer.

Par : Xqntor

Xqntor — Sun, 25 Oct 2009 14:52:37 +0000

Faut dire que c’est tellement intéressant de phisher un facebook, comme sa t’a accès à des tonnes d’informations plus inutiles les unes que les autres \o/

Par : kekou

kekou — Sun, 25 Oct 2009 14:31:19 +0000

interessant , bon je me met sur mes pages de phishing :p

Par : caiser

caiser — Sun, 25 Oct 2009 14:26:36 +0000

Ou encore (et surtout) failbook