“Come ho hackerato Facebook e scoperto che qualcuno mi ha preceduto” – la rivelazione dell’Hacker
“How to hack Facebook” fu un Google Trend gigantesco nel 2011.. E lo sta tornando in questi giorni. Pochi giorni fa un white hat hacker é penetrato nei server di facebook, e dopo aver ottenuto l’accesso, ha scoperto che un altro hacker (black hat) aveva già compiuto lo stesso lavoraccio, installando anche una backdoor per cercare di carpire le password dei dipendenti Facebook.
Questa volta nessun dato degli utenti è stato rubato: solo i dati di qualche impiegato Facebook, in quanto ad essere stato compromesso è il server dell’azienda e non quello principale della piattaforma. Ma la storia ha comunque dell’incredibile.
Orange Tsai, un white hat hacker di DEVCORE, mentre stava testando le vulnerabilità del server di Facebook in cerca di una ricompensa, è riuscito a penetrare il sistema, e ha trovato una backdoor di un altro Hacker.
Come è entrato
Tsai non si è fermato al mappare solo il dominio principale di facebook, ma è riuscito a trovare il dominio tfbnw.net (The facebook network?). Eseguendo il mapping del dominio ha rilevato un altro sottodominio interessante (vpn.tfbnw.net) che sembra però essere privo di vulnerabilità.
Continuando con la scansione ha rilevato altri sottodomini di classe C.. e uno particolarmente interessante: files.fb.com, contenente vulnerabilità nella versione v0.20 di Secure File Transfer application (FTA). C’è da precisare che il software è di terze parti e non di Facebook. Gli impiegati lo utilizzavano per condividere file.
Tsai ha quindi iniziato a cercare di creare uno 0day in FTA, trovando ben 7 vulnerabilità:
- 3 Cross-site scripting (XSS – Permette di eseguire script tramite l’input nei form)
- 2 Remote code execution (Pre-Auth SQL Injection e Known-Secret-Key – permettono di eseguire codice remoto)
- 2 Local privilege escalation issues (permette di acquisire privilegi di amministrazione nel server)
Una sorpresina nel server
Una volta entrato Tsai ha violato una delle regole imposte da Facebook per testare le sue vulnerabilità: si è spinto oltre alla ricerca di altre informazioni. Forse per la gloria, forse per malafede, forse per aumentare il compenso (perchè 10000 dollari per una vulnerabilità simile, in realtà, sono davvero pochi).
Si parte con il controllo dei Log File ed emerge subito qualcosa:
c’è un errore nel file “/var/opt/apache/php_error_log”.
Seguendo il path nel file Log Tsai ha quindi trovato la sorpresina che l’ha reso famoso: una webshell lasciata da qualcuno che l’ha preceduto.
La webshell veniva utilizzata dall’hacker per mantenere una backdoor nel server, per carpire le password dei dipendenti Facebook. Le password e le utenze venivano salvate in un file di Log accessibile dall’esterno a questo link https://files.fb.com/courier/B3dKe9sQaa0L.log tramite wget.
Le password sembrano essere reali e non criptate, e quindi la backdoor dell’hacker sembra essere stata proprio funzionante, da Febbraio 2016.
Installa una backdoor su facebook… Non pulisce il log dagli errori.
Tsai crtica l’hacker autore della backdoor, che ha commesso errori banali.
L’hacker non si è infatti preoccupato di non creare errori nei file Log, che hanno permesso a Tsai di rintracciare subito la backdoor. Un errore da.. dilettanti.
L’hacker ha commesso inoltre molti altri errori segnalati da Tsai, che gli hanno permesso di analizzare quasi tutto ciò che l’hacker ha combinato nel server di Facebook, fornendogli quindi pure il materiale per uno dei migliori articoli di Bug Reporting mai scritti.
Infine Tsai ringrazia il programma Bug Bounty di Facebook, ma dovrebbe anche ringraziare che nessuno se la sia presa per il suo non averne rispettato le regole.
Facebook se l’è cavata premiandolo solo con 10000 dollari.