Le jeune prodige qui a cracké le système de sécurité de Facebook

Reda Cherqaoui, étudiant en informatique, Depuis l’âge de 17 ans, il s’attelle à déceler les failles de sécurité de grands sites prestigieux tels Ebay, Hotmail, Discount, HI5. En février dernier, il a pu accéder aux informations intégrales de 80 000 personnes sur Facebook.

Lire la suite

RockYou piraté, 32 millions de mots de passe Facebook dans la nature

La base de données de la société RockYou, spécialisé dans les albums photo à destination des réseaux sociaux (Facebook, MySpace, hi5, ...) a été piraté il y a quelques semaines. C'est 32 millions de mots de passe non chiffrés qui ont été volés par les hackers.

Vous faites peut-être partie de cette liste si vous aviez souscrit - sur n'importe quel réseau social- a une des applications suivantes :


* Slideshow
* Uploadphoto
* Photofx
* Glittertext
* Funnotes
* Countdown
* Superhug
* Myspace layouts
* Stickers
* Superwall
* Pieces of flair
* Speedracing
* Likeness
* Hugme
* Birthday cards

Selon les applications, RockYou peut avoir le mot de passe de votre messagerie ou celui de votre compte Facebook. Dans un communiqué, la société recommande à tous de changer ses mots de passe messagerie, compte sociaux, ...
Sur un certains nombres de forums spécialisés dans le cybercrime et la sécurité informatique, on reporte que le nombre de comptes Gmail hackés a explosé, tout comme les "spams d'amis" ("Hey c'est toi sur cette photo?"). Il n'y a peut-être pas de rapport, mais il faut tout de même noter que le/les hacker(s) ont posté l'intégralité de la base de donnée sur le net.


Employé, partenaire ou utilisateur, personne n'a été épargné!

EDIT : Voir le détails fait par Comme dans du beurre

Facebook vulnérable aux XSS, attention aux risques de phishing

Non l'auteur de cette découverte n'est pas un roumain, comme nous en avions l'habitude ces dernières semaines, mais un français du pseudo de 599eme Man.
Les lecteurs facebookiens ont sans doute déjà répondu à un de ces quizz stupides" Quelle est ta mention au bac "LA CITE DE LA PEUR" ?", "Quel personnage du N.C.I.S êtes-vous ?" ou encore "Vous êtes la réincarnation de quel personnage célèbre ?".

L'avantage de ces quizz est que leur création est à la portée du premier gosse de 5 ans venu. L'éditeur qui héberge ce système de questionnaire est Quizz Monster.
Et ce que 599eme Man a découvert est une vulnérabilité commune à tous les quizz "Quiss Monster", qui permet de rediriger un utilisateur de Faacebook vers un site externe. Dans son post expliquant la vulnérabilité, il indique que le paramètre vulnérable est la variable next qui permet de passer d'une page du quizz à l'autre :

http://apps.facebook.com/[le nom du quizz]/?next=[URL de redirection]

Par exemple copiez/collez cette adresse dans votre navigateur, http://apps.facebook.com/quelhamburgerdem/?next=%68%74%74%70%3A%2F%2F%6E%65%77%73%2D%6F%66%2D%73%65%63%75%72%69%74%79%2E%62%6C%6F%67%73%70%6F%74%2E%63%6F%6D
Vous serez redirigé vers news-of-security.blogspot.com. Voici la video Proof Of Concept de 599eme Man :



Vous pouvez donc essayer avec tous les quizz, cela marchera jusqu'à ce que l'éditeur de l'application apporte un correctif. Cette vulnérabilité est assez dangereuse, car elle peut servir à rediriger un utilisateur vers une page qui volera ses identifiants facebook (comme dans la video). Cela peut également envoyer un utilisateur vers de fausse page youtube qui cachent en réalité des malwares (Koobface notamment).


Pour finir, et ce n'est vraiment pas de coutume, voici le post de Zataz à propos de cette vulnérabilité :

Dans son article daté du 12/12/2009, Damien Bancal ose estampiller son article d'exclusif alors que 599eme man a rendu publique cette vulnérabilité le 22/11/2009. De plus le rédacteur en chef de zataz ne prend guerre le temps de mener son enquête, et met en garde uniquement envers l'URL apps.facebook/quelendroitltwgzmv alors que ce sont tous les quizz qui sont vulnérables... Clown!

Spam : Attention aux Tests de QI !

Des pirates utilisent des comptes Twitter ou Facebook afin de diffuser l'adresse de site internet qui collecte des données sur vous. Et plutôt que de vous demander de but en blanc votre numéro de téléphone, votre adresse mail, ils usent bien entendu de stratagèmes de mise en confiance. Et parmi les valeurs montantes se trouvent les tests de QI en ligne.

Tout commence à partir du compte d'un réseau social compromis - dont les deux principaux sont Facebook et Twitter. Le pirate spamme ses contacts par message privé, avec un message du type :

Les liens redirigent vers divers sites, dont un du nom de IQ ME, qui fournit une dizaine de questions censées calculer votre quotient intellectuel.

Tout commence bien :

Belle présentation, question typiques de test de QI, et quelques minutes plus tard, vous avez enfin fini, vous voulez flatter votre égo avec un score supérieur à 130, mais :

Discrètement on vous demande votre numéro de téléphone pour recevoir votre résultat. Cela peut sembler sans danger, mais donner des informations personnelles (portable, mail ou adresse) à n'importe qui peut ensuite entrainer des effets indésirables.

Demandez vous : pourquoi veulent-ils cette informations. Dans ce cas-ci, le risque de rentrer dans une liste de spam par SMS parait fort probable.

Restez donc très prudent si un contact (même de confiance) vous propose de participer à ce genre de tests. De plus dans certains cas des retraits mensuels pourraient être effectués pour ce service...lisez bien les petites lignes!

Quand koobface imite les humains

Koobface, le ver quasi attitré de Facebook, vient de recevoir de nouvelles fonctionnalités. Elles permettent ainsi à un ordinateur infecté par le ver de :
- se connecter à Facebook
- créer un nouveau compte
- confirmer son adresse mail (Gmail) afin de vailider le nouveau compte
- remplir la page Info
- rejoindre aléatoirement des groupes
- ajouter de nouveaux amis
- poster des messages sur le mur de ses "amis"
Cela donne des comptes compromis, mais impossible à dissocier d'un compte humain. Photo, nom, date d'anniversire, religion...tout y est!

Voici un exemple d'information d'un compte bot :


Et ici le message qu'un bot peu laisser sur le mur d'un ami (humain) :

La vidéo posté par le bot redirige en fait vers un faux Youtube. Une technique similaire à celle utilisé pour Google Reader. La page de destination contient une image simulant un lecteur video, et bien entendu une mise à jour est demandé pour pouvoir voir la vidéo. Mis à jour qui cache en réalité le ver Koobface.

Les utilisateurs de Facebook doivent donc être extrêmement prudent quand ils reçoivent un message privée ou sur leur mur les invitant à regarder une vidéo sur un site externe...et même si la vidéo vient de quelqu'un de confiance : son compte a pu être piraté!
De plus, on se sait combien de compte bot a créé le ver.