Notícias, Segurança

Facebook: Torrent, Web Crawler e ataque de Cross-Site scripting

É pessoal!! Acho que a equipe de segurança do Facebook chutou algum ebó ( macumba ) por esses dias porque nos últimos dias os blogs e sites especializados em segurança lançaram alguns Full-Disclosures sobre este que é uns dos maiores sites de redes sociais. Segundo o site Alexa o Facebook só perde para o Google ficando acima do Youtube em acessos diários.

Na semana passada um tweet da @FSLabsAdvisor divulgou um Directory do Facebook contendo a lista de todos os seus usuários, ai começa a semana de cão dos caras. Para facilitar a vida um script foi criado para o Nmap facilitando o download da lista contida no diretório.

Para acabar de estragar a semana dos caras resolveram disponibilizar a lista via torrent. Nela você encontrará fotos, informações pessoais, URL, amigos exceto se o usuário habilitou o item de privacidade então somente aparecerão seu nome e foto.

Acredito que neste momento você deve estar clicando para sair deste post. Eu não recomendo porque o melhor vem agora….

Ron Bowes autor do blog Skull Security criou um web crawler em Ruby que baixa a lista completa apresentando resultados realmente interessantes. Usando o script ele conseguiu nada menos do que 171 milhões de contas gerando uma lista das contas top do site.

Junto com o esse vacilo foi divulgado pela Acunetix um artigo técnico e o video abaixo apresentando um ataque de XSS no site do Facebook.

As vulnerabilidades encontradas não são novas em sites de redes sociais, recentemente a mesma falha de XSS permitiu que milhares de usuários do Orkut caissem no conto das Moedas Verde gratuitas para o jogo Colheita Feliz.

Um javascript era executado permitindo que o atacante enviasse scraps usando seu perfil, alterando todas sua informações além de fazer um cache poisoning redirecionando a tela do login para um site fake para sequestrar ( hijacking ) seu perfil.

Facebook, Twitter, Noosfero entre outros sites de redes sociais sempre serão vitimas destes e de outros tipos de ataques pois nele estão contidos muitas informações sobre seus usuários.

Para os usuários destas redes fica a dica para evitar cadastrar informações importantes, fotos pessoais e sempre utilizar ferramentas que alertam possiveis falhas como as apresentadas acima.

Fontes:

HelpNet Security

Security-Sh3ll