Blog Post

Cara Hack Account Facebook Menggunakan Handphone Anda dalam 60 Detik

26

FEB 2014

Cara Hack Account Facebook Menggunakan Handphone Anda dalam 60 Detik

Sidik Hanrei | Tutorial , Hacking

Beberapa waktu lalu, seorang Ahli Keamanan yang berada di Inggris dengan nama Jack Whitton a.k.a "fin1te" telah menerima $20.000 setelah berhasil membongkar salah satu celah keamanan facebook yang sangat rentan hanya dengan menggunakan telepon genggam Anda dengan menggunakan fasilitas Facebook SMS.

Menarik Bukan?

Uang senilai $20.000 diberikan Facebook karena dianggap celah yang ditemukannya sangat berbahaya bagi "kerajaan bisnis jejaring sosial" ini. Setelah disimulasikan, kita dapat mengambil alih (mencuri) akun seseorang hanya dalam waktu kurang dari 60 detik.

Jika kita menghitung waktu aksi hanya dalam 60 detik pasti tidak akan masuk akal. Mungkin awalnya kita berpikir Facebook SMS hanya digunakan untuk update status via SMS. Tapi tahukah Anda? sebenarnya kita telah memiliki informasi data yang tersimpan yaitu Email dan Nomor pribadi kita (yang digunakan untuk login ke facebook). Mungkin karena itu pula, jutaan baris kode pada Facebook SMS ini memiliki celah keamanan yang bernilai $20.000.

Apa yang diungkap fin1te?

seperti yang telah didokumentasikan Jack Whitton pada blognya dengan judul "HIJACKING A FACEBOOK ACCOUNT WITH SMS", kelemahan kode terdapat pada end-point /ajax/settings/mobile/confirm_phone.php. Sebenarnya hal ini membutuhkan banyak parameter agar dapat berfungsi secara maksimal, tapi hal utama yang harus diperhatikan adalah kelemahan <code> dimana kode verifikasi kita terima melalui handphone dan juga profile_id yang juga menghubungkan nomor aku kita.

Percobaan yang dilakukan adalah mengganti parameter profile_id dengan profile_id orang lain (misalnya target Anda) dan setelah dilakukan tidak memberikan error apapun dengan kata lain hal ini diperbolehkan. Disinilah pintu emas yang digunakan fin1te untuk mengantongi uang sebesar $20.000.

Let's do it!!!


Untuk menggunakan celah ini, langkah awal yang harus kita lakukan adalah mengirimkan pesan FB ke nomor 32654 (nomor ini berbeda-beda di masing-masing negara). Setelah itu, kita akan menerima kode verifikasi yang terdiri dari 8 karakter.

Masukkan kode tersebut pada form aktivasi (klik disini), dan pada Code View, rubah elemen profile_id yang berada didalam fbMobileConfirmationForm.

Merubah value pada elemen profil_id melalui fitur Inspect Element yang terdapat pada browser (Chrome & Mozilla).

Jika Anda kesulitan untuk mencari profil ID, Anda dapat menggunakan tools http://findmyfacebookid.com dan Anda hanya cukup memasukkan profil URL.

Find My Facebook id

Setelah merubah elemen profil_id target, kirimkan Confirm untuk mengirimkan data yang sudah dimodifikasi dengan memastikan kesesuaian data yang dikirimkan melalui data Headers.

Dan dalam beberapa detik, facebook akan mengirimkan informasi bahwa kita telah dikonfirmasi untuk menggunakan Facebook Mobile.

Akun facebook target telah sepenuhnya siap dikuasai tanpa menggunakan teknik hacking yang sulit seperti Malware atau Phishing. Pencurian akun ini hanya dilakukan dengan menggunakan SMS.

Langkah akhir untuk mengeksekusi akun target adalah dengan cara mengirimkan Fitur Reset Password yang juga tersedia pada Facebook Mobile (tentunya kita sudah login ke dalam Facebook mobile menggunakan cara diatas). Dan hanya dalam hitungan detik, facebook akan memberikan "pisau tajam" untuk merobek akun target.

It's super easy step right? Penemuan cara sederhana tapi mematikan ini sangat mengancam sistem keamanan facebook, sehingga fin1te seharusnya bisa mendapatkan lebih dari $20.000 atas jasanya ini.

Peringatan dari fin1te ini telah diperbaiki oleh facebook dan sekarang facebook tidak lagi menerima parameter profile_id dari user.

Dan saya ambil dari catatan Timeline dari blog fin1te, berikut ini adalah dokumentasi tanggal yang dilakukannya :

  • Tanggal 23 Mei 2013 - Laporan Awal ke Facebook
  • Tanggal 28 Mei 2013 - Facebook Mendalami laporan kelemahan facebook.
  • Tanggal 28 Mei 2013 - Ancaman Keamanan telah diperbaiki