Chi sonoSicurezza di Facebook violata: Come diventare amministratori di qualsiasi pagina
Articoli speciali, Hacking — il febbraio 16, 2011 alle 22:35 | Scarica l'articolo in formato PDFTweet
Potrebbe sembrare uno scherzo, ma non lo è. Facebook da un po’ di tempo a questa parte soffre di una grave falla che permette a chiunque di diventare amministratore di qualsiasi pagina. E già si possono immaginare i risultati di tutto ciò. Non mi credete? Continuate a leggere questo articolo e probabilmente tra qualche minuto andrete a controllare bene chi è inserito all’interno degli amministratori della vostra pagina.
Partiamo prima di tutto con calma: la falla che vi sto presentare si attiva nel momento in cui un ignaro utente effettua un click all’interno di un link ben “programmato”, quindi c’è sempre la salvezza per chiunque di usare un po’ il proprio cervello e di evitare di premere link a caso. Detto ciò entriamo nel vivo.
Ho pubblicato qualche ora un articolo dove illustravo la scomparsa dei bottoni “Commenta” e “Mi Piace” su Facebook. Da ciò è nata una piccola discussione all’interno dei commenti tra me e Matteo, il quale ha iniziato a sostenere che esiste uno script per far si che chiunque possa diventare amministratore di qualsiasi pagina. Con mio grande stupore gli ho chiesto quindi maggiori informazioni ed immediatamente lui ha deciso di mandarmi una email con tutto ciò che sapeva (se non è spirito Hacking questo! 
).
A questo punto non credevo ai miei occhi. Decido quindi di entrare su Facebook con un mio account secondario, creare una pagina e premere sul link che mi ha mandato… Dopo pochi istanti le mie pupille si sono dilatate davanti a ciò che stavo vedendo davanti al monitor del mio computer: un utente a me sconosciuto era diventato amministratore della pagina appena creata e di altre pagine che avevo creato in passato.
Pochi istanti dopo mi sono precipitato all’interno del codice sorgente Js a cui rimandava il link semi-nascosto con bit.ly per analizzarlo con calma. E’ bastata una velocissima analisi per capire che mi sarebbe bastato modificare qualche parametro per essere io stesso l’artefice di questo attacco e per impossessarmi in pochissimi istanti di centinaia di pagine.
1
Qui sopra vi riporto il codice che ho trovato all’interno di questo Js. Per evitare che qualche lamer-ragazzino ci possa mettere sopra le mani non vi spigherò come funziona e inoltre ho cancellato la zona in cui bisogna inserire i parametri dell’account che vogliamo rendere amministratore. Vi ricordo inoltre che la stringa da inviare ai vari utenti di cui vogliamo impossessarci le pagine è il seguente:
1
Con un po’ di buona volontà chiunque può risolvere questo piccolo problema, insomma… Dopotutto Google serve anche a questo
Newsletter
54 commenti
Uhm.. fatto male secondo me, hai detto anche troppo… c’erano molti lamer che non riuscivano neanche ad avere lo script nonostante gli avessero fregato le pagine… ora inizierà a girare ancora di più…
fossi in te censurerei parti del codice °-°”
Controllalo bene il codice
L’ho visto… ma uno deve essere proprio “pirla” per non riuscirci, comunque ok speriamo…
P.s. addami almeno il sito °-° dove c’è il nome
Pardon, volevo farlo ma tra tutto quello scrivere mi è passato di mente
Provvedo immediatamente
Perfetto, grazie mille al prossimo script
Tra l’altro, se guardi, gira proprio come un nuovo modo per mandare suggerimenti in automatico sulle pagine (?!?):
http://on.fb.me/gxV1j6
Lo script è esattamente quello. Comunque non so se sia veramnte definibile come un bug. Alla fine è JS, immagino in qualche modo richiami le funzioni che dal CP normale di facebook ti permettono di rendere chi vuoi admin delle tue pagine.
Sisi, infatti a tua insaputa nomini admin un altro.. ma cosa del genere dovrebbero bloccarle
Avresti almeno potuto cancellare il commento che indica dove cambiare i dati
Cmq è una minaccia, ma non cosi grave. La possibilità di inserirlo dentro un link non mi sembra possibile. Dovresti sfruttare una falla.
Per funzionare bisogna obbligare la vittima a inserirla nella barra dell’url e premere invio.
In ogni caso ottimo lavoro
Per favore mi potete contattare mi chiamo su Facebook Michele ******** . A me hanno rubato una pagina con questo metodo e ne vorrei capire di + . Grazie in anticipo
Troppo tardi è stato bloccato =(
Non fare affermazioni se non sei certo della loro validità…
(Usarlo per rubare pagine, oltre a essere illegale è da lamer, il codice sopra è solo a scopo dimostrativo)
Molte funzioni di facebook sono sfruttabili in questo modo. Gira tutto su JS che è lato client, per cui loro non possono farci più di tanto. Certo è che si deve star attenti a quello che si clicca
impossessarsi di una pagina abbandonata da 2 anni è da stronzi??? se per voi non lo è mi potete contattare qui???’avrei bisogno di una mano perchè non so una s**a di programmazione ma vorrei una pagina, che vi assicuro è ABBANDONATA ed è un peccato che finisca così…qualcuno mi contatti qui per favore falcon.f******* grazie a tutti
quindi diciamo che è nato il nuovo modo per suggerire le pagine?
qualcuno puo dirmi come fare?
ho creato una pagina non a scopo di lucro, putroppo mia madre soffre di una malattia rara.
vorrei creare una pagina dove mettere tante persone che soffrono della stessa malattia e cmq farla conoscere in ambito scientifico.
fatemi sapere
in risposta alla tua prima domanda:
no, questa cosa non va fatta…
ciao sono sophy0295 e sono nuova: posso farti una domanda? da qualche tempo a questa parte una mia amica mi ha nominato amministratrica insieme a lei di una pagina facebook senza il mio consenso e adesso mi ritrovo a girovagare per il web cercando una soluzione a cancellarmi. come posso NON essere più amministratore della pagina? grazie in anticipo ^^
http://www.facebook.com/pages/manage
Da qui vai su modifica pagina-> Gestisci autorizzazioni e ti elimini..
salve io sono un proprietario di una pagina su facebook e un haker continua ad attaccarmi c’è un modo per capire chi è oppure come dicevamo prima usare questo a mio vantaggio per riavere il controllo dell MIA PAGINA
Salve a tutti! Ho urgentemente bisogno di un aiuto! Mi hanno rubato una pagina (ho messo un estraneo come admin, che idiota -.-) e vorrei sapere come posso recuperarla. Grazie in anticipo.
ciao… ho nisgno di aiuto… puoi contattarmi in privato? nonc so a chi rivolgermi: mi hanno impostato la domanda su facebook c’è un modo per eliminarla? posso ancora entrare cambio continuamente password e sto cambiando la mail ma non so cm altro fare… tu sei un haacker e puoi aiutarmi!
ciao senti un po a me mi hanno rubato una pagina di facebook con questo giochetto….come posso riprendermela? se vuoi dimmi un modo per farti avere la mia email in privato perche metterla qui mi sembra di divulgare miei dati personali che potrebbero andare in mani sbagliate! non so piu a chi rivolgermi! per favore rispondimi!
mi contatti per favore??? è urgente! grazie
Ragazzi mi potete contattare e spiegare come si fa..perchè sono stato appena cancellato come amministratore dall’altro amministratore del gruppo!!
MI AIUTATE A RECUPERARE LA MIA PAGINA?QUALCHE ROOBIN HOOD HACKER CHE SI BATTE PER LA GIUSTIZIA X I POVERI!!NON E’ GIUSTO LA PERSONA SCRIVE FINGE DI ESSERE ME,E PRENDE PURE IN GIRO,CHE INGIUSTIZIA PERO’….LA PAGINA E’http://www.facebook.com/TI.AMO.E.TI.ADORO MI AIUTATE ALMENO A SAPERE CHI E’?VI PREGO *__* NON E’ GIUSTO..!!NELLA MIA VITA SAREI VOLUTA DIVENTARE UN HAKER!MA A FIN DI BENE
TANTE COSE AVREI VOLUTO..CHE DIRE,SPERIAMO BENE <3<3<3 CONTATTATEMI DAI RIEMPITEMI DI GIOIA CON UNA BELLA NOTIZIA,RESTO IN ATTESA NELLA SPERANZA..<3<3<3
Ragazzi ho bisogno di voi devo recuperare la mia pagina!!!
io ho il problema contrario. Mi sono cancellata da sola come amministratore della mia pagina e ora non so come fare perchè nessuno può accedere per fare modifiche. HELP MEEEE!!!
come posso fare???
Ciao posso chiederti un favore? Un hacker ha rubato una pagina di un mio amico perchè lui l’ha messo amministratore (che coglione -.-”) e vorrei aiutarlo a riprendersela… Possiamo parlare in privato via e-mail? Grazie…
Aiutatemiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii !!! mi hanno rubato una pagina di facebook …. adesso come la recuperoo ? aiutatemi per favoree !
per evitare che qualche lamer lo usi cancella alcuni caratteri in modo ke quendo lo leggano non si accorgono dei mutamenti
ragazzi mi hanno ribato una pagina su fb…come faccio a recuperarla????????????????aiuto vi prego
mi piacete raga grandi haker
come faccio a distrugere il programma k9??? datemi una risp
Ciao! Questa operazione è a scopo inlegale anche se cerchi di riprenderti una pagina che era la tua? Comunque potresti farlo con una pagina che era la mia e vorrei riprendermi(?)
Se mai l’amministratore leggerà questo commento, gli chiedo di confermarmi che adesso per il funzionamento dello script è necessario inserire la password dell’account, riducendo di molto le possibilità di phishing.
P.S: Ho sbagliato indirizzo e-mail
ho URGENTE bisogno di una mano.
hanno creato una pagina fan a nome del mio fidanzato che è un personaggio pubblico non nominandolo amministratore e scrivono qualsiasi tipo di commento!!!
essendo pagina fans è impossibile inviare una mail a chi l’ha creata per dirgli di cancellare i commenti indesiderati o di rimuovere la pagina visto che ne ha già una.
abbiamo scritto a fb e segnalato alcuni commenti come offensivi, ma senza risultati..
come dobbiamo fare?
Bè se è un personaggio pubblico tutti possono avere la possibilità di commentare senza censura. Non siamo mica in Cina
ciao ragazzi ho URGENTE bisogno di una mano.
hanno creato una pagina fan a nome del mio fidanzato che è un personaggio pubblico non nominandolo amministratore e scrivono qualsiasi tipo di commento!!!
essendo pagina fans è impossibile inviare una mail a chi l’ha creata per dirgli di cancellare i commenti indesiderati o di rimuovere la pagina visto che ne ha già una.
abbiamo scritto a fb e segnalato alcuni commenti come offensivi, ma senza risultati..
come dobbiamo fare?
mo, luca, forse mi sono spiegata male… è un personaggio pubblico e hanno creato una pagina come se fosse la sua, ma non è la sua e c’è un matto che continua a scrivere sotto diversi profili cose infamanti su di lui scritte come se fossero vere..
ho veramente bisogno di capire se c’ è una soluzione. abbiamo segnalato sia la pagina che i commenti ma senza successo
Salve, mi figlia era amministratrice di una pagine da lei creata e con oltre 16.000 fans e per errore si è cancellata come amministratrice, ora la pagine è priva di amministratori, qualcuno mi sa dire come recuperarla? Grazie
Ciao a tutti, qualche settimana fa ho cliccato mi piace su una pagina di un personaggio, dopo 2 giorni mi son ritrovata amministratrice della pagina senza che io lo avessi scelto. Ho scritto in privato all’amministratore chiedendogli di cancellarmi ma lui non lo ha fatto. Ho provato a farlo da sola ma mi chiede una psw che nn ho! Come posso fare? Possibile che chiunque può decidere di farti diventare amministratore di una pagina qualsiasi senza il tuo consenso? Mi sembra assurdo! Grazie
stessa cosa per me…mi hanno nominata amministratrice di una pagina,e per cancellarmi ho bisogno di una password!Assurdo!
Mi aiutate a riprendermi la pagina? Contattatemi!!!!
[SPAM]
Mi aiutate a riprendermi la pagina? Contattatemi!!!! Questa è la pagina ke mi hanno rubato [SPAM]
ciao, potete cortesemente contattarmi? avrei bisogno di aiuto per recuperare una pagina di cui ero amministratore, per sbaglio mi sono cancellato e ora non so più come intervenire. posso dare tutti i dati per farvi verificare che la pagina è mia.
resto in attesa
grazie
non ho capito tanto bene come fare per diventare amministratrice di una pagina
ciao a tutti…premetto che vivo seguendo la legge del karma, e quindi non “ruberei” mai pagine a chi a quelle pagine ci tiene, vi sono pero’ pagine e gruppi abbandonati a se stessi Che mi farebbero gola, queste pagine alcune senza amministratore, altre con aministratori che non entrano in quella pagina da mesi…chi mi aiuta a impossesarmene? non mi interessa essere amministratore unico, la possiamo condividere anche in 10 la pagina, l’importante che ognuno pubblicizza cose diverse.
LA COSA IMPORTANTE E’ CHE LE PAGINE NON SONO ITALIANE…LA MIA MENTALITA’ E’ QUESTA, PUBBLICIZZARE ALL’ESTERO COSI’ DA FAR ENTRARE CAPITALI STRANIERI IN ITALIA (NEL NOSTRO PICCOLO)…
ragazzi aiuto..allora praticamente ieri ho messo ADMIN della mia pagina…solo che oggi quel bastardo me l’ha rubata…:( come posso fare x recuperarla.????????
ma che cosa si deve inserire nell’indirizzo …. mi hanno rubato una pagina :’(
scusate forse sono un poco ebete, ma il codice dove si deve mettere?… poi dobbiamo inserire solo questo: http://on.fb.me/gxV1j6 oppure anche altre cose, scusate il disturbo.
Grazie!
RAGA X TOGLIERIVI DA AMMINISTRATICE BASTA K INSERITE LA VOSTRA PASSWORD …. NO ALTRE PASSWORD!!
non ci ho capito un minchia
Ragazzi mi hanno rubato la pagina ma non so chi sia stato… =( Adesso è del tutto abbandonata… Posso riprendermela con questo metodo?