Gratis tool om Facebook-accounts te kapen
Met behulp van netwerksnuffelaar
07 mei 2009 | Janneke Scheepers
Een Indiase hacker heeft vorige week een gratis tool vrijgegeven waarmee mensen de complete controle over de Facebook-accounts van vreemden kunnen overnemen. Ze moeten daarvoor wel de sessiecookies van het slachtoffer te pakken zien te krijgen.
De tool heet Fbcontroller en is een creatie van de 26-jarige schrijver Azim Poonawala, die het alias 'Quaker Doomer' gebruikt. Fbcontroller analyseert de communicatie tussen Facebook en computers die interactie hebben met de site. De tool gebruikt die informatie, samen met de cookiegegevens, om kaping van accounts mogelijk te maken.
Netwerksnuffelaar
Cookies kun je krijgen met een netwerksnuffelaar, cross-site scripting exploits, via een open proxy die cookies bijhoudt, of met behulp van social engineering, zegt Poonawala tegen Cnet. Hij zegt de tool te hebben geschreven als een bewijs (proof of concept) en omdat hij er een kick van krijgt om netwerkgerelateerde gray hat-tools te schrijven.
Overigens is er alweer een tweede versie van de Fbcontroller in de maak omdat Facebook enkele aanpassingen heeft gedaan, lezen we op Poonawala's blog.
Massaal accountbeheer
Jeremiah Grossman, technisch directeur van Whitehat Security, verdenkt de tool ervan eigenlijk een andere functie te hebben. Namelijk het beheer van grote hoeveelheden accounts, bijvoorbeeld voor het sturen van spam. "Dit is veel makkelijker dan een browser gebruiken om in te loggen en accounts individueel aan te passen."
Poonawala ontkent dat Fbcontroller is bedoeld om meerdere accounts te beheren, hoewel "het absoluut door slechteriken kan worden misbruikt om dat te bereiken, aangezien het gratis is."
Detectie
Barry Schnitt, woordvoerder van Facebook, zegt dat het bedrijf op de hoogte is van de tool. Volgens hem kan Facebook valse of gekaapte accounts op verschillende tijdstippen opsporen, zoals op het moment van creatie, log-in of spamversturing. "Meerdere accounts die tegelijkertijd dezelfde actie ondernemen, kunnen deze detectie juist makkelijker maken."
Met een bijdrage van Elinor Mills
bron: ZDNet
Related Partner info »
Nog meer op ZDNet »
To .be or not to .be
Blog : De Redactie
Het zijn hoogdagen voor ICANN. De organisatie krijgt bakken geld voor nieuwe toplevel domeinnamen. Maar wie staat te springen om ze te gebruiken?
» Boot Windows 8 te snel?
news
De opstarttijd van Windows 8 is zo kort dat er nauwelijks tijd is om in de Veilige Modus te geraken. Microsoft sleutelde daarom flink aan de bootcyclus.
» Antwerpse jeugd kan begeleid gamen
news
In Antwerpen opent vandaag Gamebox, een project waar jongeren onder begeleiding van specialisten kunnen gaan gamen.
» Super tip: het internet als e-book
help
De webapplicatie Readlists maakt gratis e-books van door jou geselecteerde nieuwsartikelen en verstuurt ze naar je smartphone, tablet of e-reader.
Review: Silent Hill - Downpour
Game
Na een ongeluk met een gevangenistransport kom je in het onheilspellende Silent Hill terecht. Wapens zijn schaars, dus zal je moeten improviseren om te overleven.
