האקר ישראלי מצליח להדאיג את אינסטגרם!

הכירו את zHacker, חוקר סייבר, ואחת המוחות מאחורי גילוי החולשה באינסטגרם עליה נדבר היום.

סייבר סייבר ועוד פעם סייבר, אנחנו נחשפים למושג הזה יום יום ועדיין, עולם הסייבר כזה נרחב שבכל תת תחום אפשר למצוא דרך חשיבה מחוץ לקופסא ולנצח את Agent Smith (לאלו ממכם שכן הבינו את הרפרנס, you're are the real mvp's).

אז בואו נתחיל:

תום:

תוכל לשתף אותנו בדרך מציאת החולשה? כמובן מה שניתן לחשוף.

zHacker :

-לשם כך אני והשותף שלי השקענו ויצרנו Write Up מלא שאותו תוכלו לקרוא כאן.

תום:

וואו זה נשמע ממש מרשים, אמור לי, זה היה קשה?

zHacker :

אנומרציית משתמשים-לא קשה, היה כמה שעות בגג – לא משהו מסובך, הרבה התמדה.

תום:

מהי אנומרציית משתמשים:

zHacker :

אנומרציית משתמשים היא חולשה by the book
לא משהו רציני – ששווה להתריע אלא אם כן המשתמשים = מספרי טלפון = אימיילים שאז זה די מדיום במיוחד לחברות ענק כמו פייסבוק שאמור להיות להם חסימה לזה,

בנינו אלגוריתם אחרי אינספור ניסיונות (שבוע עבודה) שמנחש מספרי טלפון באופן רנדומלי – שעוקף תחסימה (אחרי x ניסיונות),
בתפארתו – הסקריפט שלח 15K בקשות בתוך 21 שעות ופלט 1K מספרי טלפון רנדומליים של משתמשי אינסטגרם פעילים.

עכשיו, חבר שלי (שותף לפרוייקט) הציע רעיון של לקשר כל מספר טלפון רנדומלי שמצאנו לפרטי החשבון שלו – ובכך להעלות את החולשה לקריטיקל בכמה רמות.

כשמשתמש אינסטגרם נרשם הוא מקבל הצעה לסינכרון אנשי קשר – בעצם פיצר של אינסטגרם שבו הקליינט שולח בקשה עם ליסט של טלפונים (האנשי קשר) והשרת של אינסטגרם בודק ב-DB שלו ומחזיר תשובה עם כל הפרטים של כל המספרי טלפון שרשומים כמשתמשי אינסטגרם – ככה המשתמש יידע למי לעקוב.
הבאלגן התחיל שהפיצר – לא יציב, שנית הוא מחזיר באופן אקראי את הפרטים ככה אי אפשר לדעת איזה מספר טלפון שייך לאיזה חשבון וכו..
עקפנו את זה בקונספט של "אם נשלח בבקשה אחת מספר טלפון אחד" השרת יחזיר את הפרטים של אותו מספר.
אינסטגרם לא מטומטמים והגבילו את המשתמש לשלוח 3 בקשות לפיצר פר 24 שעות, זה אומר כל חשבון יכול להשיג פרטים על 3 מספרי טלפון ביום.

משם זה קל, יצירת בוטנט – של אלפי – מאות אלפי בוטים של חשבונות אינסטגרם פיקטיביים שישלחו כל אחד מהם 3 בקשות ביום כשכל בקשה עם מספר טלפון בודד (אותו מספר טלפון של משתמש אינסטגרם ראנדומלי),
ב-PoC הסרטון הצגנו זליגת נתונים בזמן אמת שכן פתחנו 40 חשבונות פיקטיביים ובעזרת יכלנו לקבל פרטים אישיים של 120 חשבונות אינסטגרם ראנדומליים (40*3) כמובן שזה יותר מ-120 כי מספר טלפון יכול להיות משוייך לכמה חשבונות וכו..

זה הקונספט – תוקף יכול לקנות 100 שרתים ובתוך 10 ימים בלבד להשיג מיליון 1M פרטים אישיים של משתמשי אינסטגרם רנדומליים, כמובן שהוא צריך הרבה חשבונות בוטים פיקטיביים בשביל זה – אבל תיאורטית הוא יכול לעשות את זה גם עם 40 חשבונות – אבל כמובן זה ייקח לו שנה – שנתיים אפילו יותר להשיג מיליון 1M פרטים על משתמשי אינסטגרם בתנאי שהוא יריץ את ה-40 בוטים הללו שעתיים כל יום על מכונה אחת (בערך 1K פרטים אישיים של חשבונות אינסטגרם בשבוע),

שנינו יודעים שעם מספיק כסף לא בעיה לקנות רשימה של חשבונות אינסטגרם פיקטיביים – ולפתור את זה בקלות או סתם לפתוח מלא חשבונות עם פייטון ורשימה של שרתי פרוקסי להתחבר אליהם (שכן כתובת IP אחת לא יכולה לפתוח יותר מ-3 חשבונות אינסטגרם ביום),
עוד הצעה – הכי טובה זה לפתוח בחצי שעה מיליון משתמשי test accounts בפייסבוק (תעשה גוגל על זה) ואז להיכנס לאינסטגרם מפייסבוק בעזרת כל חשבון test, שורה תחתונה זה בר ביצוע בקלות – בנינו מימוש של ועבד מטורף!

עכשיו, בא נחבר את הפאזל, במתקפה מוצלחת אנחנו מקבלים את ה-

UserID
UserName
Full Name
Phone-Number

של משתמשי אינסטגרם רנדומליים,
תוקף יכול לבנות בשבוע DB מפלצתי כזה שכפי שהבנת מכיל רשומות של פרטיים אישים אודות משתמשי אינסטגרם.

תיאורטית עם מספיק זמן ומשאבים (כמה דולרים בודדים לקנות 100 שרתים ולבצע התקפה כל יום במשך חודש) יכולנו להשיג את הפרטים האישיים של כל משתמשי אינסטגרם,

זה כולל סמנכלים מפורסמים ואנשים כמוני וכמוך, טכנית בסופו של דבר הייתי יכול למצוא את המספר טלפון של קים קרדישאן או דונלד טראמפ,

זו הפרת פרטיות חמורה מאוד – בעצם דליפת נתונים, היה ניצול של זה לפני כשבוע בו חוקרים מצאו DB עם 419 מיליון פרטים אישיים מסוג אלו של משתמשי פייסבוק, פייסבוק הודיעה שהיא הורידה את הפיצר שלהם לפני כשנה וסגרה תפריצה, פה זה קרה לאינסטגרם – שפייסבוק חברת האם שלה.

תום:

האם חברת אינסטגרם העניקה לכם תשלום על מציאת החולשה? Bug Bounty.

zHacker :

-כן קיבלנו 4,000 דולר אחרי שהם שלחו לנו מכתב התנצלות על הטעות שעשו

תום:

נשמע נהדר! כל הכבוד ושאפו על היצרתיות, לסיום ולקראת השנה החדשה, אשמח שתיתן את עצת הזהב שלך, עצה אחת לשנה החדשה לקהל הקוראים שלנו.

ללמוד תכנות הארד קור – חולשות קליינט סייד וסרבר סייד אם כבר ווב, לא לפחד לצלול לשטח, CTFים ותוכניות BB לאו בשביל כסף אלא להשתפשף – ללמוד תכנות כמו שאמרתי בצורה יסודית – כל חולשה קיימת מבוססת על פאק תכנותי, כל PT טוב חייב להיות תכנת ממוצע – טוב

zHacker

תום:

תודה רבה על הזמן שהקדשת לנו, מאחלים ויודעים שזה רק ההתחלה ונשמע עלייך רבות!

zHacker :

תודה רבה, כמו כן הרשו לי לשתף אתכם שמצאתי חולשה חדשה במקום מסויים, לא אוכל כרגע לחשוף מעבר אך שווה להיות מוכנים לכך.

ולכם קוראים יקרים, חג שמח ושנה טובה!

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *