Pular para o conteúdo principal

Compartilhe

Verdade Inconfortável

Qualquer pessoa pode rastrear você online em menos de 10 minutos — e é completamente legal. Visual: tela preta + cursor piscando. Subtítulo: "O que é OSINT e por que isso muda tudo para sua empresa." 02 Slide OSINT não é espionagem. É investigação com dados que você mesmo deixou para trás. Open Source Intelligence = inteligência gerada a partir de fontes públicas: redes sociais, registros, domínios, metadados. Tudo legal. Tudo disponível. E tudo sobre você. 03 Slide Empresas perdem processos por não saber o que está publicado sobre elas. Documentos vazados, e-mails esquecidos, fotos com metadados, contratos em cache. A prova que condena sua empresa pode estar indexada no Google agora. 04 Slide Provas digitais têm validade legal — mas só se coletadas corretamente. Print de tela não serve em juízo. Hash criptográfico, timestamp certificado e cadeia de custódia são o que diferenciam evidência de suposição. 05 Slide O erro mais comum: descobrir a prova e destruí-la sem querer ao ...
Postar um comentário
Read more »

Determinar um usuário de facebook pelo número de telefone

Determinar um usuário de um número de telefone particular

Dado um número de telefone que foi definido como privado para não amigos, é possível determinar o usuário que possui esse número.
Isso satisfaz as seguintes condições
  • O telefone está definido como "Somente eu" em "Informações de contato" no perfil do usuário.
  • "Quem pode procurá-lo usando o número de telefone que você forneceu?" Está definido como "Somente amigos" (configuração mais baixa possível)
  • O usuário não é um amigo.
O caso base aqui é uma simples pesquisa via facebook.com que mostra que o usuário pode ser consultado como amigo.
No entanto, isso não é possível para um não-amigo.
Prova de conceito
Consulta de Chamada Raiz do GraphQL
Pedido
phone_number_to_loyalty_user({phone_number:PHONE_NUMBER}){fb_user}
Resposta
{
    "resposta": {
        "fb_user": {
            "id": "USER_ID", "url": "https://www.facebook.com/username", "nome": "Nome Sobrenome"
        }
    }
}
A chamada raiz faz parte de um recurso ainda em teste, conforme descrito na postagem do TechCrunch 'Os códigos QR do Facebook Rewards' geram descontos para compras off-line .
Em uma demonstração de exploração, utilizou-se a metodologia do pesquisador de segurança Inti De Ceukelaire (@securinti) Como consegui seu número de telefone através do Facebook .
Impacto
Esse problema permitiu que um usuário mal-intencionado determinasse qual usuário possui um número de telefone específico, independentemente das configurações de privacidade do usuário.
Timeline
  • 8 de maio de 2017 - relatório enviado
  • 9 de maio de 2017 - escalada pelo Facebook
  • 9 de maio de 2017 - Corrigido pelo Facebook
  • 17 de maio de 2017 - Recompensa concedida pelo Facebook
obrigado
Gostaria de agradecer a Inti De Ceukelaire pelo trabalho de base detalhado que ele fez para explicar o risco de consultas por números de telefone. Além disso, tenho uma cerveja ou um caso para Shubs (@infosec_au) e Naffy (@nnwakelam) para a metodologia de reconhecimento descrita em Escrita sobre o Bug Bounty . Isso me ajudou a criar uma metodologia básica na identificação de ativos e endpoints em grande escala.
Enviar esta postagem

Comentários

Postar um comentário

Manual de Fontes Abertas

CLICA

Pericia Digital

Como usar um Agente OSINT IA

Postagens mais visitadas