Hakovanje FB fan stranica

[Aleksandar.Ilic]

Poz
Ajde sto su hakovane exitove stranice.. nego sto nisu jedine.. ima jos popularnih stranica koje su hakovene i izgubljene..
Da li iko ista zna o nacinu na koji se ovo radi da bih mogao da se zastitim?

[Aleksandar.Ilic]

ono sto sam saznao:
https://www.facebook.com/pages/How-t...72173106161881

ima js kod koji vodi na url http:// goo. gl/ NYdjm
A ovaj url je neki js koji 100% nije od fejsbuka :S

Izgleda da njega koriste..

[twix]

Verujem da postoji mnogo nacina za hakovanje naloga, ali mislim da je magicna rec za ovo: Facebook Phishing

U sustini princip je isti za bilo koji sajt/nalog, jedino sto na facebooku to ide dosta lakse i brze, sto zbog realtime komunikacije i naivnosti korisnika, sto zbog osnovnog kompjuterskog neznanja.

[Miroslav Ćurčić]

Browser bi trebalo da blokira takva pozivanja zbog:
http://en.wikipedia.org/wiki/Same_origin_policy

[LiquidBrain]

Pa i ne mora da znaci, mozesh da embedujesh neki js koji ce da ucita neki drugi js koji ce da izvrsi ko zna sta, i jednostavno zaobidjesh SOP

[ivanhoe]

da, izgleda je neki XSS u kombinaciji sa phishingom, verovatno je admin strane bio dovoljno glup da pokrene skript..

[acca]

Ja sam, baš juče, na dve FB fan stranice gde mi je jedan od admina manje iskusna devojka, primetio novog admina koji se zove "FBML kodovi". Naravno, obrisao ga odmah sa liste admina. Obzirom da se to desilo samo na te dve od gomile FB fan stranica koje administriram, mora da je ona nešto uradila. Nažalost, ne seća se šta.

[bagatov]

Evo malo sam istrazivao i saznao da je to masovna pojava, koristi se glupi facebookov sistem administriranja fan stranica. Ne postoji nikakva hijerarhija admina, svaki admin moze dodati novog admina i obrisati bilo kog admina. Admini se dodaju tako sto se samo upise email id novog admina i to je sve. Novi admin moze odmah poceti da dodaje nove ili da brise koga hoce, i onog ko ga je dodao. Nema verifikacije, nema provere passworda ili bilo kog drugog oblika check pointa.
Znaci xss napad i prost javascript kod sa funkcijom da kad ga bilo koji admin pokrene u svom browseru doda napadacev email kao novog admina. Zastita: ne stavljaj bilo koga za administratora ko ce da klikce na linkove tipa I got Ipad and you can i sl, koristi firefox sa NoScript addonom

I naravno facebook je sinonim za sigurnost

[ivanhoe]

ne treba normalnim FB accountima davati admin privilegije... kad koriste poseban nalog na kome nema prijatelja ni nicega, onda ce ljudi sami da se izloguju cim zavrse posao, jer im je admin nalog dosadan...

[bagatov]

hmm...a evo sta sam jos nasao:

Kôd:

http://blackboxsocialmedia.com/1000-facebook-pages-hacked/
http://www.thehackernews.com/2011/02/albania-security-group-hack-more-than.html
http://www.thehackernews.com/2010/12/20-serbian-sites-hacked-by-ahg-crew.html

kao i step by step uputstvo od nekog alzirca:

Kôd:

http://www.hungry-hackers.com/2011/02/how-to-hack-facebook-fan-page.html

i naravno "fejs" prezentacija "tamo nekih" napadaca na srpske stranice sa spiskom "uspeha" na zidu:

Kôd:

http://www.facebook.com/home.php#!/PcHackers?sk=wall

i linkovima MyLikes koji vode pravo u ...

(dole su stranice koje su ukrali, izmedju ostalih facebook prezentacija "Grad Niš - www.gradnis.net", "Braći Kocić je potrebna tvoja pomoć" gde su izmenili slike ali ima i stranica gde nista nisu dirali kako clanovi ne bi nista primetili kao npr stranica

Kôd:

http://www.facebook.com/pages/We-are-from-Serbia-D/102082309844705

sa linkovima "Win a gratis Ipad With MyLikes" od strane admina i komentarima sa linkovima za koje pise da su skripte za pozivanje u grupu a u stvari hex kodirani javascript link za kradju novih stranica koji se pokrece sa same facebook stranice.