Nie masz jeszcze książki sekuraka o bezpieczeństwie aplikacji webowych? 20% taniej z kodem rabatowym: oferta-sekurak-20

Tag: Facebook

Facebook wprowadza szyfrowanie e2e rozmów głosowych i czatów wideo w Messengerze

16 sierpnia 2021, 13:40 | W biegu | komentarze 4
Facebook wprowadza szyfrowanie e2e rozmów głosowych i czatów wideo w Messengerze

Kilka dni temu dyrektor ds. zarządzania produktem (Messenger) Ruth Kricheli ogłosił dość ciekawe dla miłośników prywatności zmiany w komunikatorze Messenger: Pierwszą nowością jest szyfrowanie e2e (end-to-end) rozmów głosowych i wideo w Messengerze. W praktyce oznacza to, że nikt, w tym Facebook, nie powinien być w stanie podsłuchiwać treści naszych rozmów….

Czytaj dalej »

Zdemolował system używany przez dział prawny Facebooka + mógł grzebać po sieci wewnętrznej. Nagroda: ~200 000 PLN

19 marca 2021, 22:24 | Aktualności | komentarzy 6
Zdemolował system używany przez dział prawny Facebooka + mógł grzebać po sieci wewnętrznej. Nagroda: ~200 000 PLN

Ostra seria podatności tutaj. Na celowniku tym razem był jeden z systemów legal – w domenie thefacebook.com. Dokładnie rzecz biorąc – ten system. Zaczęło się od zlokalizowania ciasteczka o nazwie .ASPXAUTH Jest to ciastko sesyjne, ale jakby tu dostać się na admina? Badacz miał nosa do tego typu przypadku (doświadczenia…

Czytaj dalej »

Facebook w proteście na nowe prawo zablokował w Australii możliwość oglądania i publikowania newsów

18 lutego 2021, 11:21 | W biegu | komentarzy 7
Facebook w proteście na nowe prawo zablokował w Australii możliwość oglądania i publikowania newsów

Pamiętacie rozważany swego czasu w Europie „podatek od hiperlinków„? Na bardzo zaawansowanym etapie podobnej regulacji jest Australia, która chce wymóc prostą zasadę: dana platforma (np. FB czy Google) udostępnia u siebie linki (+ zajawki) do zewnętrznych newsów – ma zapłacić stronom na których dana treść została opublikowana. Facebook postanowił na…

Czytaj dalej »

Facebook chce przekonywać użytkowników swojej appki – śledzenie waszej aktywności jest dobre. Wyraźcie zgodę!

01 lutego 2021, 22:14 | W biegu | komentarzy 6
Facebook chce przekonywać użytkowników swojej appki – śledzenie waszej aktywności jest dobre. Wyraźcie zgodę!

Apple już jakiś czas temu postanowił walczyć ze śledzeniem użytkowników w systemie iOS. Całość ma być realizowana przez mechanizm App Tracking Transparency: You must use the AppTrackingTransparency framework if your app collects data about end users and shares it with other companies for purposes of tracking across apps and web…

Czytaj dalej »

Ktoś sprzedaje bazę telefonów użytkowników Facebooka. „~500 milionów wszystkich, 2,7 miliona z Polski”

30 stycznia 2021, 23:02 | W biegu | komentarzy 5
Ktoś sprzedaje bazę telefonów użytkowników Facebooka. „~500 milionów wszystkich, 2,7 miliona z Polski”

Baza nakierowana jest przede wszystkim na numery telefonów i ich powiązanie z ID Facebooka. Prawdopodobnie w bazie są przede wszystkim numery telefonów/ID użytkowników Facebooka (pozostałe dane dostępne są w bardzo nielicznych przypadkach). Z Polski jak widać oferowane jest prawie 2,7 miliona rekordów: Czy baza jest „prawdziwa”, niektórzy wątpią, choć np….

Czytaj dalej »

Ten film (czy raczej jego kliknięcie) kradnie dane logowania do Facebooka

14 stycznia 2021, 13:51 | W biegu | komentarzy 16
Ten film (czy raczej jego kliknięcie) kradnie dane logowania do Facebooka

Tym razem coś dla mniej technicznych czytelników. Zobaczcie następujące oszustwo. Taka strona promowana jest na Facebooku (zauważcie fałszywy adres w pasku adresu przeglądarki – http://d29qgvbch6mz0g[.]cloudfront[.]net/): Pewnie sporo osób zechciałoby zobaczyć potencjalnie drastyczne sceny z klubu: Są one na tyle drastyczne, że wymaga to potwierdzenia wieku (niby za pomocą Facebooka): Pod…

Czytaj dalej »

Można było tworzyć posty na dowolnej stronie facebookowej (bez posiadania uprawnień). Bug warty w sumie ~100 000 PLN

11 stycznia 2021, 15:32 | W biegu | komentarze 2
Można było tworzyć posty na dowolnej stronie facebookowej (bez posiadania uprawnień). Bug warty w sumie ~100 000 PLN

Podatność została załatana w listopadzie 2020r. a sprowadzała się do braku sprawdzenia uprawnień przez Facebooka. W ramach przykładu, badacz pokazał jak można by stworzyć „lewy” wpis na oficjalnej stronie Facebooka informujący że Facebook zwraca na konto podwojoną kwotę wpłaconą do nich w Bitcoinach: Jak można było to zrobić? Wystarczyło przygotować…

Czytaj dalej »

Krytyczny błąd w Messengerze (Android). Można było zadzwonić do ofiary i słuchać jej audio zanim odbierze połączenie…

22 listopada 2020, 13:23 | W biegu | 1 komentarz
Krytyczny błąd w Messengerze (Android). Można było zadzwonić do ofiary i słuchać jej audio zanim odbierze połączenie…

Podatność została zgłoszona przez Natalię Sylwanowicz z projektu Google Zero. Jak czytamy na stronie Facebooka: This fall, Natalie Silvanovich of Google’s Project Zero reported a bug that could have allowed a sophisticated attacker logged in on Messenger for Android to simultaneously initiate a call and send an unintended message type…

Czytaj dalej »

Można było przejmować dowolną stronę na Facebooku. Nagroda za zgłoszenie buga: ~55 000 PLN

15 września 2020, 18:45 | W biegu | 0 komentarzy
Można było przejmować dowolną stronę na Facebooku. Nagroda za zgłoszenie buga: ~55 000 PLN

Pełen opis problemu możecie zobaczyć tutaj. Historia związana jest z nowym interfejsem Facebooka (tzw. FB5). Tutaj można było stworzyć nową (testową) stronę, a następnie utworzyć do niej użytkownika: Na razie nie ma żadnej podatności, ale po kliknięciu przycisku Create Username można było przechwycić żądanie HTTP (np. w Burp Suite) i wpisać…

Czytaj dalej »

Przejął system MDM, zarządzający urządzeniami mobilnymi pracowników Facebooka. RCE bez uwierzytelnienia na popularnym MDM-ie MobileIron.

12 września 2020, 12:39 | Aktualności | 1 komentarz
Przejął system MDM, zarządzający urządzeniami mobilnymi pracowników Facebooka.  RCE bez uwierzytelnienia na popularnym MDM-ie MobileIron.

Jeśli Orange Tsai coś napisze, to jest to od razu uderzenie z Grubej Berty ;-) Tym razem mamy opis podatności klasy unauthenticated RCE w systemie MDM MobileIron. Dla przypomnienia systemy klasy Mobile Device Management to klucz do królestwa urządzeń mobilnych w całej firmie. Z jednej strony to właśnie w tym miejscu…

Czytaj dalej »

Niepokojący popup na Facebooku – „My Quick Experiments”. Czy to hack / testy na produkcji / … ?

30 lipca 2020, 21:31 | W biegu | 0 komentarzy
Niepokojący popup na Facebooku – „My Quick Experiments”. Czy to hack / testy na produkcji / … ?

Trochę naszych czytelników pyta nas zaniepokojonych o co chodzi z takim dość dziwnym przyznajmy popupem pojawiającym się najczęściej przy ikonie chatu : Na razie nie ma o tym wielu szczegółowych informacji – poza tym wątkiem, gdzie najczęściej wskazuje się na pewną ukrytą funkcję Facebooka (która prawdopodobnie powinna być dostępna tylko…

Czytaj dalej »

Można było obejść funkcję „loguj przez Facebooka” – za zgłoszenie wypłacono nagrodę ~200 000 PLN)

01 marca 2020, 21:10 | Aktualności | komentarzy 11
Można było obejść funkcję „loguj przez Facebooka” – za zgłoszenie wypłacono nagrodę ~200 000 PLN)

W dzisiejszym odcinku #vulnz, mamy coś nieco bardziej skomplikowanego. Pewnie w wielu z Was kojarzy funkcję loguj się z wykorzystaniem Facebooka: Instagram, Netflix, Spotify czy rodzimy Wykop – to tylko kilka przykładów. Jak to działa? Na początek musimy jednorazowo potwierdzić, że chcemy korzystać z tej funkcji (jesteśmy przekierowani z danego serwisu…

Czytaj dalej »

Uwaga – porwanie dziecka! A tak naprawdę waszego konta na FB!

20 sierpnia 2019, 22:18 | W biegu | komentarze 4

Czytelnik doniósł nam o nowej, popularnej kampanii na Facebooku która wygląda np. tak (przykład: https://m.facebook[.]com/story.php?story_fbid=2228191223969654&id=100003363936319 Zasięgu można tylko pozazdrościć: Ci którzy skuszą się na wejście na stronę opisującą porwanie, będą mogli zobaczyć film z całej akcji, który jednak ze względu na drastyczne sceny wymaga potwierdzenia swojego wieku (18 lat). A to…

Czytaj dalej »