Hackear una cuenta de Facebook con solo un SMS

Última actualización: 23 de mayo de 2024

¿Te imaginas que un solo SMS es suficiente para hackear una cuenta de Facebook ? No es necesario utilizar herramientas de piratería como troyanos, phishing o Keylogger. Con un simple mensaje de texto puedes hackear una cuenta de Facebook.

Aquí les contaré cómo un investigador de seguridad británico, “ final1te " ha podido hackear cuenta de facebook en un minuto mediante el envío de un simple SMS.

Como sabes, existe una opción para vincular tu número de teléfono a tu cuenta de Facebook. Esto le permite recibir actualizaciones de su cuenta de Facebook a través de SMS. También puede iniciar sesión en su cuenta utilizando este número en lugar de su dirección de correo electrónico.

Según el investigador, la falla estaba relacionada con el proceso de vinculación del número de teléfono o, técnicamente, con el archivo. /ajax/settings/mobile/confirm_phone.php.

Esta página web permite a un usuario enviar su número de teléfono y código de verificación, enviado por Facebook.

Este formulario tiene dos parámetros principales, uno para el código de verificación y el otro profile_id, que es la cuenta a la que está asociado el número.

¿Cómo hackear una cuenta de Facebook con un mensaje de texto?

Estos son pasos para realizar un hack de facebook con sms:

  • En el código fuente de la página. confirmar_teléfono.php, reemplace el valor de profile_id con el valor de profile_id de la víctima.
  • Envía la letra F al número 5100, que es el shortcode de SMS de Facebook en Francia. Recibirá un código de verificación de 8 caracteres.
  • Ingrese este código en el valor del parámetro confirm_code y envíe el formulario.
  • En esta etapa, Facebook vinculará el número de teléfono del atacante con el perfil de Facebook de la víctima.
  • Finalmente para tomar el control total de la cuenta de Facebook de la víctima, el hacker simplemente tiene que ir a la opción Contraseña olvidada y lanzar la solicitud de restablecimiento de contraseña.

Facebook ya no acepta el parámetro profile_id del usuario y el equipo de desarrolladores ha solucionado esta falla importante. A cambio, Facebook pagó US$20 al investigador “fin000te” en forma de Bug Bounty.