Archive for August 2015

Telefon numarası ile facebook kullanıcısı tepit etmek hala mümkün mü?

Merhabalar,

En son yazdığım blog yazım “Facebook’tan telefon numarasından kişi tespiti ve aldığım ödül” başlıklı yazının devamlı niteliğinde bazı konularda bilgi vermek istiyorum. Ayrıca bazı kişiler bu konu hala mümkün mü diye merak edip mesajlar atmışlar, onlara da ayrıca bir yöntem paylaşacağım. Önceki yazıda söz konusu olan zafiyet kapatılmış olsa da farklı bir yöntem ile herhangi bir numaranın, email adresinin bulunması mümkün veya kişilerin sizi engelleyip engellemediğini görebilirsiniz. Fakat öncelikle asıl yazıyı yazmamı sağlayan konuyu özet geçiyorum.

Twitter ve Facebook üzerinden beni takip edenler, 2015 Mayıs içerisinde Facebook için 2 farklı güvenlik zafiyeti bildirimi yaptığımı görmüş olabilir. Hem zafiyetin kapanma süreçi, hemde Facebook ile yaptığım görüşmeler, hemen hemen 2 ayı bulmuş ve üstüne son günlerde yaşadığım iş ve eğitim konusundaki yoğunluktan ötürü, ilgili konunun bir şekilde arada kaynamasına sebep olmuştu. Yakın tarihte bazı yabancı haber kaynaklarında bu konuda bazı haberlere rastladım.(the guardian, the register vs.).

İlgili haberlerin içeriğinde benim Facebook’a bildirmiş olduğum zafiyetlerden birinin farklı bir güvenlik araştırmacası tarafından facebook’a bildirildiği ve sanki facebook’un bu konuyu ciddiye almadığı gibi bir algı yaratılmış, ilgili zafiyetinde Reza Moaiandin adında bir güvenlik araştırmacısının ortaya çıkardığı idda edilmiştir.

Söz konusu zafiyeti ve bununla birlikte farklı birkaç yöntemi “telefon numarsı üzerinden facebook kullanıcısı tespit etme” konusunda 2015 Nisan ayında bulgular elde edip, 2 Mayıs 2015 tarihinde de Facebook’a bildirmiştim. Önceki yazımda da belirttiğim üzere, bazı haber sitelerinde söylenenin aksine Facebook bu zafiyetleri ciddiye almıştır, ayrıca bu zafiyetlerden ötürüde bana 2.500 dolar ödül vermiştir. Fakat bir kaç konunun anlaşılması gerekli.

Facebook alt yapısında kullanıcılardan gelen isteklere yönelik bazı güvenlik önlemleri alınmaktadır. Bunu sanırım aşağıda paylaşacağım yöntem ile daha net bir şekilde anlayabileceksiniz. Bu güvenlik önlemlerinden biri rate-limitler. Yani örnekle anlatmak gerekirse sizin arama kısmına gelip, herhangi birini arama yaptığınızı ele alalım, bu arama işlemi üzerinden konuşacak olursak. Facebook tarafından bu arama girişimi 1 sorgu olarak algılanmaktadır. Yani rate-limit sayesinde Facebook şirketi size belirli bir limit kadar sorgu hakkı tanımaktadır. (650 – 700 sorgu) siz ancak bu sorgu limiti kadar sorgu yapabiliyorsunuz bu sayede belli kullanıcı bilgilerinin sızmasını engelliyor. Aynı zamanda ülkesel ve bölgeseler olarak cookie üzerinden yaptığı takiplerinde olduğunu söylüyor, bu sistem hakkında çok bilgi edinememiş olsakta en iyi anlaşılacak yer şifre sıfırlama bölümü. Yine şifre sıfırlama bölümü üzerinden herhangi bir telefon numarasını yazıp arama yaptığınızda ilgili telefon numarası üzerinde kayıtlı bir hesap varsa size gösteriyor. Ama burada 2 farklı durum var. Eğer ilgili hesap için giriş yapmayı denediğiniz ülke, bölge veya bilgisayar uyumsağlamazsa hesap resmi ve isim soyisim bilgisi gelmiyor sadece facebook kullanıcısı diyor, fakat ilgili hesap ile giriş yapmayı denediğiniz bilgisayar bölge ülke uyum sağlarsa o zaman resim ad soyad bilgisi görülüyor, ülke, bölge ve cookie ler üzerinden facebook’un bir dizi önlemler aldığını buradan kolayca anlayabiliriz. Biz bunu bildirdiğimizde bir güvenlik zafiyeti veya ihlali olarak görmeyecektir biz ne zaman ki bu sorgu limitini veya ülke bölge cookie vs gibi aldığı bir dizi önlemi aşabilirsiniz o zaman Facebook için bu bir sorun haline geliyor,

Hiç değilse bu güne kadar benim edindiğim Facebook tecrübesi bu yönde, son zafiyet için ele alırsak konuyu bana aynen şöyle bir imada bulundular, bizim rate-limitlerimiz var aşta görelim. Ben onlara ne zaman ki toplamda 1.200.000 sorgu çekebildiğimi gösterdim, ancak o zaman ödülü almaya hak kazandım. yani asıl ödülü almamı sağlayan şey, bu zafiyet ile birlikte 1.200.000 sorguyu çekebilmemi sağlan rate-limit sorunuydu.

Ödülü almamı sağlayan ve rate-limitlerin düzgün çalışmadığı yer Graph API(https://graph.facebook.com/graphql/?locale=tr_TR) üzerinde idi, şuan anlatacağım yöntemin bu alanla bir alakası bulunmamaktadır.

Şimdi gelelim, bizim herhangi bir telefon numarasının facebookta hangi kullanıcıya ait olduğunu nasıl tespit edeceğimize. Malumunuz Facebook diğer bildirimden sonra ödülü verince diğer zafiyeti kapattı. Fakat tespit ettiğim farklı yöntemler ile hala herhangi bir telefon numarasının hangi kullanıcıya ait olduğunu bulmak mümkün. fakat facebook’un belirlemiş olduğu rate-limitleri aşmak bu bölüm için size kalmış durumda. Yani bu yöntem ile öyle bir script yazıp topluca milyonlarca sorgu çekemezsiniz, bunu yapabilmek için farklı yöntemlere ihtiyacınız var. Eğer bunu yapabilirseniz o zaman bu bulgu facebook için bir risk oluşturacaktır. ve muhtemelen o zaman kapatacaklardır. Fakat bu hali ile mevcut sistemin bir parçası olarak durmaktadır. Neyse rate limiti aşmayı size bırakıp yöntemi paylaşıyorum.

Malumunuz Facebook bizlere bir çok alanda search kısmı sunmakta.Kişi arama bölümün dışında bir alandan daha kişi araması yapmamız mümkün. Normal arama kısmının dışında bu alandan yapılan herhangi bir “username, ad soyad ve telefon numarası” araması, normal arama bölümde uygulanan arama polikasının dışında çalışmaktadır. Bu bölüm üzerinde yapacağınız arama ile (Neden niçin ve hangi süretle olduğunu anlayamasamda) kişiler sizi engellemiş olsada görülebilmekte olup telefon numaları arama bölümünden gösterilmeye kapalı olsada olmasada görülmektedir.

herhangi bir numaranın hangi hesaba ait olduğunu bu yöntem ile kolayca öğrebilirsiniz.

https://www.facebook.com/browse/block_users?q=123456789

Sayıların olduğu yere telefon numarasını yazarak kolayca arama yapabilirsiniz fakat belli bir sayıdan sonra sorgu hakkını kalmayacak numara kayıtlı olsa dahi sonuçlar boş dönecektir.

Ayrıca buradan isim soyisim, username gibi bilgiler ilede arama yapabilirsiniz, bununda güzel yanı sizi engelleyen kişileride listede gösteriyor olması. Bu şekilde arama yaparak Sizi engellemiş olsa dahi kişilerin Profillerini görebilirsiniz, üzerine tıkladığınız zaman, kişinin zaman tüneline ulaşamıyorsanız anlayın ki o kişi sizi blocklamıştır. buda bonus olarak kalsın köşede.

Buda video:

Dipnot: sorguladığım numaraların kime ait olduğunu bilmiyorum, random oluşturulmuş olup, oluşabilecek her türlü yasal sorumluluk facebooktadır. ben rastgale telefon numarası sorgulayarak konuyu örneklendirdim. yasal bildirimi lütfen facebook üzerinden yapın.

Kalın sağlıcakla,
ibrahim

Deja-vu… or how I discovered my acknowledged flaw second hand

To whom it may concern,

In the recent days I was amazed to see that the news spread that a certain Mr. Reza Moaiandin had been able to discover Facebook users through their phone numbers. He states that he has discovered this flaw.

 

https://nakedsecurity.sophos.com/2015/08/11/change-this-facebook-setting-so-you-cant-be-searched-for-by-phone-number/

 

http://www.theregister.co.uk/2015/08/12/facebook_privacy_flap_data_phone_number/

 

However, I had discovered 2 security flaws in early April 2015, both of them were submitted on May 2nd,2015. and I have been awarded the humble sum of 2500 USD for this flaw in question. Report Number: 246267112

Through this flaw I was able to query and acquire the data of 1,200,000 Facebook users, which was necessary to give it proof, and then deleted them on ethical grounds. Please find my correspondence below.

Yours sincerely,

Ibrahim BALIC
Principal Security Researcher
Balich Information Security

 

facebook_bug3

facebook_bug

 

facebook_bug2

Facebook’tan telefon numarasından kişi tespiti ve aldığım ödül

​Merhabalar

Son günlerde bazı haber kaynakları ve bloglarda facebook kullanıcıların telefon numarası bulunmasına yönelik haberler yayınlanmaktadır. Bu konuda bir güvenlik araştırmacısı bunu kendi bulduğunu iddia etmektedir.

https://nakedsecurity.sophos.com/2015/08/11/change-this-facebook-setting-so-you-cant-be-searched-for-by-phone-number/

http://www.theregister.co.uk/2015/08/12/facebook_privacy_flap_data_phone_number/

Bu ve bununla birlikte telefon numarası ile kişi tespitini mümkün hale getiren 2 adet zafiyeti 2015, Nisan ayında tespit etmiştim, 2 mayıs tarihinde bildirdiğim bu zafiyetten ötürüde 2.500$ dolar para ödülü aldım.Bu zafiyetlerden ötürü 1.200.000 facebook kullanıcısının bilgisini alabildiğimi gösterdim ve tüm dataları sonra sildim. görüşmenin bir kısmı aşağıda yer almaktadır.

Teşekkürler,

Ibrahim BALIC
Principal Security Researcher
Balich Information Security

facebook_bug3
facebook_bug
facebook_bug2