mau ikutin??? silahkan!!!

Posted: January 20, 2014 in about me

Illustraion Facebook Hacked

Beberapa waktu lalu, seorang Ahli Keamanan yang berada di Inggris dengan nama Jack Whitton a.k.a “fin1te” telah menerima $20.000 setelah berhasil membongkar salah satu celah keamanan facebook yang sangat rentan hanya dengan menggunakan telepon genggam Anda dengan menggunakan fasilitas Facebook SMS.

Menarik Bukan?

Uang senilai $20.000 diberikan Facebook karena dianggap celah yang ditemukannya sangat berbahaya bagi “kerajaan bisnis jejaring sosial” ini. Setelah disimulasikan, kita dapat mengambil alih (mencuri) akun seseorang hanya dalam waktu kurang dari 60 detik.

Jika kita menghitung waktu aksi hanya dalam 60 detik pasti tidak akan masuk akal. Mungkin awalnya kita berpikir Facebook SMS hanya digunakan untuk update status via SMS. Tapi tahukah Anda? sebenarnya kita telah memiliki informasi data yang tersimpan yaitu Email dan Nomor pribadi kita (yang digunakan untuk login ke facebook). Mungkin karena itu pula, jutaan baris kode pada Facebook SMS ini memiliki celah keamanan yang bernilai $20.000.

Apa yang diungkap fin1te?

seperti yang telah didokumentasikan Jack Whitton pada blognya dengan judul “HIJACKING A FACEBOOK ACCOUNT WITH SMS“, kelemahan kode terdapat pada end-point /ajax/settings/mobile/confirm_phone.php. Sebenarnya hal ini membutuhkan banyak parameter agar dapat berfungsi secara maksimal, tapi hal utama yang harus diperhatikan adalah kelemahan <code> dimana kode verifikasi kita terima melalui handphone dan juga profile_id yang juga menghubungkan nomor aku kita.

Percobaan yang dilakukan adalah mengganti parameter profile_id dengan profile_id orang lain (misalnya target Anda) dan setelah dilakukan tidak memberikan error apapun dengan kata lain hal ini diperbolehkan. Disinilah pintu emas yang digunakan fin1te untuk mengantongi uang sebesar $20.000.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s