Telefon numarası ile facebook kullanıcısı tepit etmek hala mümkün mü?

Merhabalar,

En son yazdığım blog yazım “Facebook’tan telefon numarasından kişi tespiti ve aldığım ödül” başlıklı yazının devamlı niteliğinde bazı konularda bilgi vermek istiyorum. Ayrıca bazı kişiler bu konu hala mümkün mü diye merak edip mesajlar atmışlar, onlara da ayrıca bir yöntem paylaşacağım. Önceki yazıda söz konusu olan zafiyet kapatılmış olsa da farklı bir yöntem ile herhangi bir numaranın, email adresinin bulunması mümkün veya kişilerin sizi engelleyip engellemediğini görebilirsiniz. Fakat öncelikle asıl yazıyı yazmamı sağlayan konuyu özet geçiyorum.

Twitter ve Facebook üzerinden beni takip edenler, 2015 Mayıs içerisinde Facebook için 2 farklı güvenlik zafiyeti bildirimi yaptığımı görmüş olabilir. Hem zafiyetin kapanma süreçi, hemde Facebook ile yaptığım görüşmeler, hemen hemen 2 ayı bulmuş ve üstüne son günlerde yaşadığım iş ve eğitim konusundaki yoğunluktan ötürü, ilgili konunun bir şekilde arada kaynamasına sebep olmuştu. Yakın tarihte bazı yabancı haber kaynaklarında bu konuda bazı haberlere rastladım.(the guardian, the register vs.).

İlgili haberlerin içeriğinde benim Facebook’a bildirmiş olduğum zafiyetlerden birinin farklı bir güvenlik araştırmacası tarafından facebook’a bildirildiği ve sanki facebook’un bu konuyu ciddiye almadığı gibi bir algı yaratılmış, ilgili zafiyetinde Reza Moaiandin adında bir güvenlik araştırmacısının ortaya çıkardığı idda edilmiştir.

Söz konusu zafiyeti ve bununla birlikte farklı birkaç yöntemi “telefon numarsı üzerinden facebook kullanıcısı tespit etme” konusunda 2015 Nisan ayında bulgular elde edip, 2 Mayıs 2015 tarihinde de Facebook’a bildirmiştim. Önceki yazımda da belirttiğim üzere, bazı haber sitelerinde söylenenin aksine Facebook bu zafiyetleri ciddiye almıştır, ayrıca bu zafiyetlerden ötürüde bana 2.500 dolar ödül vermiştir. Fakat bir kaç konunun anlaşılması gerekli.

Facebook alt yapısında kullanıcılardan gelen isteklere yönelik bazı güvenlik önlemleri alınmaktadır. Bunu sanırım aşağıda paylaşacağım yöntem ile daha net bir şekilde anlayabileceksiniz. Bu güvenlik önlemlerinden biri rate-limitler. Yani örnekle anlatmak gerekirse sizin arama kısmına gelip, herhangi birini arama yaptığınızı ele alalım, bu arama işlemi üzerinden konuşacak olursak. Facebook tarafından bu arama girişimi 1 sorgu olarak algılanmaktadır. Yani rate-limit sayesinde Facebook şirketi size belirli bir limit kadar sorgu hakkı tanımaktadır. (650 – 700 sorgu) siz ancak bu sorgu limiti kadar sorgu yapabiliyorsunuz bu sayede belli kullanıcı bilgilerinin sızmasını engelliyor. Aynı zamanda ülkesel ve bölgeseler olarak cookie üzerinden yaptığı takiplerinde olduğunu söylüyor, bu sistem hakkında çok bilgi edinememiş olsakta en iyi anlaşılacak yer şifre sıfırlama bölümü. Yine şifre sıfırlama bölümü üzerinden herhangi bir telefon numarasını yazıp arama yaptığınızda ilgili telefon numarası üzerinde kayıtlı bir hesap varsa size gösteriyor. Ama burada 2 farklı durum var. Eğer ilgili hesap için giriş yapmayı denediğiniz ülke, bölge veya bilgisayar uyumsağlamazsa hesap resmi ve isim soyisim bilgisi gelmiyor sadece facebook kullanıcısı diyor, fakat ilgili hesap ile giriş yapmayı denediğiniz bilgisayar bölge ülke uyum sağlarsa o zaman resim ad soyad bilgisi görülüyor, ülke, bölge ve cookie ler üzerinden facebook’un bir dizi önlemler aldığını buradan kolayca anlayabiliriz. Biz bunu bildirdiğimizde bir güvenlik zafiyeti veya ihlali olarak görmeyecektir biz ne zaman ki bu sorgu limitini veya ülke bölge cookie vs gibi aldığı bir dizi önlemi aşabilirsiniz o zaman Facebook için bu bir sorun haline geliyor,

Hiç değilse bu güne kadar benim edindiğim Facebook tecrübesi bu yönde, son zafiyet için ele alırsak konuyu bana aynen şöyle bir imada bulundular, bizim rate-limitlerimiz var aşta görelim. Ben onlara ne zaman ki toplamda 1.200.000 sorgu çekebildiğimi gösterdim, ancak o zaman ödülü almaya hak kazandım. yani asıl ödülü almamı sağlayan şey, bu zafiyet ile birlikte 1.200.000 sorguyu çekebilmemi sağlan rate-limit sorunuydu.

Ödülü almamı sağlayan ve rate-limitlerin düzgün çalışmadığı yer Graph API(https://graph.facebook.com/graphql/?locale=tr_TR) üzerinde idi, şuan anlatacağım yöntemin bu alanla bir alakası bulunmamaktadır.

Şimdi gelelim, bizim herhangi bir telefon numarasının facebookta hangi kullanıcıya ait olduğunu nasıl tespit edeceğimize. Malumunuz Facebook diğer bildirimden sonra ödülü verince diğer zafiyeti kapattı. Fakat tespit ettiğim farklı yöntemler ile hala herhangi bir telefon numarasının hangi kullanıcıya ait olduğunu bulmak mümkün. fakat facebook’un belirlemiş olduğu rate-limitleri aşmak bu bölüm için size kalmış durumda. Yani bu yöntem ile öyle bir script yazıp topluca milyonlarca sorgu çekemezsiniz, bunu yapabilmek için farklı yöntemlere ihtiyacınız var. Eğer bunu yapabilirseniz o zaman bu bulgu facebook için bir risk oluşturacaktır. ve muhtemelen o zaman kapatacaklardır. Fakat bu hali ile mevcut sistemin bir parçası olarak durmaktadır. Neyse rate limiti aşmayı size bırakıp yöntemi paylaşıyorum.

Malumunuz Facebook bizlere bir çok alanda search kısmı sunmakta.Kişi arama bölümün dışında bir alandan daha kişi araması yapmamız mümkün. Normal arama kısmının dışında bu alandan yapılan herhangi bir “username, ad soyad ve telefon numarası” araması, normal arama bölümde uygulanan arama polikasının dışında çalışmaktadır. Bu bölüm üzerinde yapacağınız arama ile (Neden niçin ve hangi süretle olduğunu anlayamasamda) kişiler sizi engellemiş olsada görülebilmekte olup telefon numaları arama bölümünden gösterilmeye kapalı olsada olmasada görülmektedir.

herhangi bir numaranın hangi hesaba ait olduğunu bu yöntem ile kolayca öğrebilirsiniz.

https://www.facebook.com/browse/block_users?q=123456789

Sayıların olduğu yere telefon numarasını yazarak kolayca arama yapabilirsiniz fakat belli bir sayıdan sonra sorgu hakkını kalmayacak numara kayıtlı olsa dahi sonuçlar boş dönecektir.

Ayrıca buradan isim soyisim, username gibi bilgiler ilede arama yapabilirsiniz, bununda güzel yanı sizi engelleyen kişileride listede gösteriyor olması. Bu şekilde arama yaparak Sizi engellemiş olsa dahi kişilerin Profillerini görebilirsiniz, üzerine tıkladığınız zaman, kişinin zaman tüneline ulaşamıyorsanız anlayın ki o kişi sizi blocklamıştır. buda bonus olarak kalsın köşede.

Buda video:

Dipnot: sorguladığım numaraların kime ait olduğunu bilmiyorum, random oluşturulmuş olup, oluşabilecek her türlü yasal sorumluluk facebooktadır. ben rastgale telefon numarası sorgulayarak konuyu örneklendirdim. yasal bildirimi lütfen facebook üzerinden yapın.

Kalın sağlıcakla,
ibrahim

Leave a Reply

Your email address will not be published.