Ganhei 45 MIL REAIS por uma FALHA do FACEBOOK 🔥

Ganhei 45 MIL REAIS por uma FALHA do FACEBOOK 🔥

o gol $10000 mais de 40 mil reais a cotação atual e tiveram de uma forma totalmente inesperada numa noite qualquer ser imagina conta comemorei isso né e não só que não é clickbait eu realmente tive uma bela recompensa de $10000 por uma vulnerabilidade por uma falha que eu recortei no facebook claro que tem uma bela recompensa do facebook eu fiquei muito grato tão recompensa que lhe deram foi muito legal ver todo esse processo rolando mas a história essa falha foi algo muito surreal sabe que foi

o mais surreal dessa história toda foi o fato de que eu não tava procurando falha quando eu acabei encontrando ela eu nunca tinha participado do programa de diagnóstico no facebook eu nunca parei para me dedicar a encontrar vulnerabilidades no facebook então esse acaso que me levou a encontrar essa falha de hoje rendeu uma história muito massa que eu quero dividir com vocês aqui se você viu o título desse vídeo já ficou confuso com que grana é essa como é que funciona esse lance de

ser recompensado receber dinheiro por falhas calma acompanha o vídeo que eu vou explicar esse processo de e por várias para vocês então senta que lá vem história e bora lá o olá seja muito bem-vindo eu sou gabriel pato sou hacker ético o trabalho aí caçando vulnerabilidades empresas mundo afora e você tá no canal que reúne galera que curte tecnologia e rack eu vou começar as histórias então contando como é que eu fui parar nesse recurso onde eu descobri o bug que que eu estava fazendo

ali porque como eu disse para vocês não é não tava procurando um na verdade quando eu acabei encontrando é para quem não sabe a minha esposa diana zambrozuski ela estrangeiro do facebook game a plataforma de live stream de jogos do facebook inclusive ela foi a segunda pessoa contratada no programa de extremos no brasil bem no comecinho disso tudo quando o facebook anunciou oficialmente a chegada no facebook gay no brasil era apenas cinco estrelas então ela tal em 35 hoje você ter uma noção já

passaram de 150 contratações e claro que acompanhou toda a carreira dela tudo que ela faz muito de pertinho então eu acompanhei a chegada do facebook game no brasil do zero ao estado gigantesco que eles se encontram hoje também quando eu falo aqui no começo só tinha mato era mais ou menos isso mesmo não comecei no facebook game no brasil não tinha um painel eu quero ver e interagir com solar emite uma página que você podia iniciar sua live e v a su a audiência e a sua conexão com os servidores

era basicamente isso não tinha nada demais ali de recursos aos poucos os recursos foram chegando e eu fui acompanhando a chegada desses recursos usar o chamado o painel do streamer do zero porque ele é hoje e uma das coisas que faltava e que na real em partes ainda falta no facebook game são esses recursos de overlays e de alertas que os extremos dos anos as suas lives para quem não está muito acostumado a acompanhar stream de jogos a g alera usa avisos no meio da live então quando alguns

computador envia uma doação aparece lá alguma animação na live mostrando que cara fez uma doação ou que ele compartilha a live começou a seguir em frente tipos de overlays e de alertas que aparecem na live com base nas interações feitas pelos espectadores era algo que o facebook praticamente não tinha o face e mostrava tipo de informação no painel do alimento cru streamer ver mas não tinha como colocar elas dentro da telinha da livestream na imagem que os espectadores estavam vendo essas opções

não existe o pep horários não disponibilizava nenhuma p e que possibilitasse desenvolver tipo de coisa não tinha como acessar suas informações que tava no painel do extremely happy para conseguir desenvolver algo para colocar nas estranhos então para melhorar as lives a diana resolvi fazer algo para ela nesse sentido eu fiz um probleminha que atua como se fosse com a vereador que entra no painel do streamer e ext rai todas as informações que eram relevantes para fazer essas interações o guilherme

que foi meu sócio em vários projetos fez uma api para receber esses dados então se meu probleminha extrair as informações mandava para ser feito lá no obs1 outro código que eu fiz puxava essas informações para finalmente reproduzir animações e formas de interações bem mais bacanas bem mais visuais em cima na live o resultado foi muito bacana eu lancei um beta esse programinha para vários destruir mas tivemos aí cerca de 35 extremas inclusive os tops da plataforma usando esse programinha foi bem

legal beleza bacana né mas por que que eu tô contando essa história é porque aqui que as coisas se conectam é que foi no meio de um brainstorm que eu tava ali pensando em recursos novos para si mesmo o meu probleminha que eu tava olhando para o painel do facebook onde eu extrair aí essas informações para fazer esse probleminha acontecer e aí eu acabei criando hipóteses de vulnerabilidades eu tive um site de algumas situações que eu queria testar para ver se rolava alguma vulnerabilidade ali foi

um recurso bem específico que eu olhei e falei cara isso aqui pode ter alguma coisa interessante é melhor conferir se tem uma falha nesse a diana estava fazendo uma live e aí o livro tá um recurso chamado stream que aqui no brasil gente conhece como gangue esse recurso usado pelos extremos quando estão no finalzinho da sua transmissão e antes de ele ser na sua live eles podem m andar todos os espectadores deles para uma live de um amigo dele por exemplo pode transferir e toda galera que

assistindo ele para uma outra live que tá em andamento e aí quando eu parei para olhar esse recurso falei cara não seria a coisa mais linda do universo se tivesse uma falha aqui que permite se eu mandar espectadores de uma live qualquer que não tem nenhum acesso para uma outra live também qualquer que não tenha nenhum acesso seria um tanto interessante isso aqui né e eu que está isso eu quis entender mais de como assim a nova para poder fazer um teste de segurança ali na mesma hora eu fui

até diana e pedir para ela para ti quando ela fosse encerrar live dela para que ela me avisasse para que eu fizesse isso do meu computador porque eu queria rodar no meu pc esse recurso de street aí né fazer o ganho que na live dela para uma outra live porque conheço eu ia poder estudar o funcionamento desse recurso é poder ver exatamente como é feita se requeste que diz olha quero fazer os trem para lá e vital eu queria capturar essas informações que eu me possibilitar analisar esse cenário

alô e vai testar o bagulho do gangue que tu falou lá tá tu vai testar uma outra coisa antes né agora o gabriel vai se ferrar de vez obrigada todo mundo gente um beijo e até a próxima galera valeu para quem tava assistindo a live dela foi um fim de live normal eu passei esses vírus dela para uma outra live como de costume como ela sempre faz a única diferença é que tem defeitos na minha máquina então eu capturei o re quest que eu precisava para analisar esse cenário e o re quest é esse aqui

ó oeste é um post para essa url aqui apesar de ser um posto os parâmetros são passados na própria cruel spring na url mesmo e não no corpo reflete como costuma ser um dos pontos mais tudo bem e os parâmetros que são passados são esses aqui eu deixei de é uma medida live desses prima que tá passando a sua audiência para algum outro lugar é de onde os print aí né o ganho que tá saindo é importante ressaltar aqui que o broadcast and não é o edi do post dessa live no facebook eu acabei

descobrindo no meio do processo e quando você abre uma live no face oposto dessa live ganham uma ed é aquela lá enfim se o próprio broadcast ganhou outro aí é desse outro dia que a gente tá falando aqui ah não cement type é o tipo da ação que a gente está solicitando e para o recurso de sua higiene né o grande o valor sempre vai ser raid aparentemente é seu nome interno para o recurso existe entender no facebook já o target page é de é uma medida página do facebook que vai receber os vírus para

onde essa audiência que está assistindo essa live atual vai ser redirecionado quando os pintinhos em for concluído eu achei curioso que aplicação pede o edi da página de destino e não do povo show do broadcast de destino mais beleza assim erro nenhum nisso e ao parâmetro é ivy é uma medida página que está e xecutando esses preencherem parâmetros apresentados esclarecidos a gente segue então então eu comecei a brincar mais com esses valores para entender melhor como funcionavam todas as

verificações as validações da aplicação ver se reconhece e eu cheguei à conclusão de que o fluxo e as verificações que eram feitas eram as seguintes o parâmetro broadcast and precisa ser uma live em andamento de alguém que faça parte do problema do facebook e isso inclui a galera que tem que con tratos de parceiro ou a galera que faz parte do programa level up já otávio spread tem que ser vai dia de uma página que tem uma live em andamento uma live que seja também parte do facebook game e o

usuário que tá fazendo esse reflexo de sprint e nem precisa ter nível de administrador na página informada no parâmetro eiv e como já disse anteriormente o ah não somente taiff tem que ter o valor raid para a criação do expoente n seja executada se tudo estiver ok ogã que os printini é realizado então talvez alguns de vocês já tenham sacado a malandragem aqui nós temos total condições de fornecer todos os requisitos da aplicação para iniciar o gangue de uma live não é nossa ligação ou para o

metrô av tem que ser wide de uma página cujo o atacante seja de mim isso é muito simples é só o atacante criar uma página qualquer no facebook parâmetro broadcast ssid é o eyed da live da vítima que tá em andamento facinho de obter também carga de peixe em dia é o eyed da página de destino para onde a gente está redirecionando essa galera da vítima é fácil de pegar também o grande problema aqui é que apesar de aplicação verificar se esse usuário que tá fazendo esse requeste é de fato

administrador da página o jorge foi informado no parâmetro av a aplicação não verifique a ser broadcast and que foi informado ou seja a live que foi passada pertence de fato a página que foi passada no parâmetro a ver temos aqui então uma vulnerabilidade chama da de ai dor que a sigla de índice seguir direct object reference adoram tipo de vulnerabilidade extremamente simples de entender e de se explorar e ao mesmo tempo é bem complicado para quem tá no lado de proteger as aplicações vamos

entender melhor que quem é esse tal de sair dora imagina um site de notícias cada notícia tem uma série de propriedades como o título dela o autor texto dela e a data de postagem por exemplo dentro da aplicação cada notícia vai ter uma referência a própria uma identificação própria geralmente um número que a gente vai chamar de eyed é bastante comum a gente ver cidade de notícias com a eles mais ou menos como essa daqui a assistir no linkedin eu queria ler uma notícia cujo eyed no sistema seja

um a gente mudar para igual dois a gente conseguir ali então a notícia número dois certo pois é isso é porque a gente tá podendo pelo parâmetro aí dina url especificar qual a notícia a gente quer ler a partir do aí de dela do sistema co mo um usuário a gente tá tendo uma referência direta à identificação do objeto que aqui no caso é notícia dentro do sistema de aplicação aplicação tá expondo para gente a referência desse objeto diretamente para o usuário e usuário tem podemos especificar o

que ele quer que nos permite nesse caso a colocar qualquer valor de uma ide e leia outras notícias no site e isso eu não tenho problema algum nessa situação afinal de contas notícias estão lá para ser lidas pelo público mesm o né são informações públicas não tem nenhum problema o site funcionar assim né pois é mas existe mudar esse exemplo por um e-comerce isso quando é que cê como se tem uma área para os clientes cadastrarem seus cartões de crédito e aí vamos dizer que tem uma página que

você possa digitar os cartões de crédito que você tem cadastrado na sua conta e a url seja mais ou menos como essa aqui ó cada cartão cadastrado por um o que é uma rede no sistema então se usuário modificar isso é de um para um outro número ele poderia visualizar e editar cartões de créditos de outros clientes do sistema aí o negócio fica bem intenso né pois é é nesse cenário que obviamente uma verificação de autorização é necessária aplicação precisa impor uma validação para só permitir o

acesso de cartões que pertencem a esse usuário tá querendo fazer o acesso não dá para simplesmente aceitar ou e informado pelo usuário encontrar esse objeto no sistema está entregando assim os dados d o cartão que o jorge foi fornecido pelo usuário e uma situação dessa estiver acontecendo aí sim a gente tem uma vulnerabilidade o nosso caso aqui então aplicação está expondo ao usuário uma referência de um objeto do sistema deles no caso o broadcast alive pelo parâmetro broadcast ssid e aplicação

está permitindo que o usuário informe qualquer valor de broadcast and para o recurso de estudante enem sem verificar preciso ar o tem de fato permissões sobre essa live se essa live de pat o e a página dele bom eu precisava testar tudo isso num cenário mais real até para poder fazer um relatório final então eu pedi ajuda para minha cunhada a gabriela zambrozuski ele manda diana e para o namorado dela o pedro gere ambos são youtubers extremas muito obrigado os seus lindos pela ajuda que me

deram nisso que naquela noite eles estavam fazendo live e aí eu pedi para que eles me avisassem quando estivessem prestes a encerrar que eu faria esse teste na live dele eu ia executar essa vulnerabilidade testar se a vulnerabilidade na live de um deles para transmitir os vírus da live de um para leve outro eles toparam eu gravei essa tentativa até para mandar no meu relatório e é justamente isso que eu vou mostrar pra vocês agora a exploração dessa falha em andamento e execução aí é importante

ressaltar que sim eu tinha permissão deles eles estavam cientes do que eu entrar na live deles porque isso é fundamental uma regra fundamental nos problemas de bald es eu testar algo em uma página que não têm permissões eu tô infringindo uma regra fundamental do programa de garibaldi e eu não seria recompensado em absolutamente nada bora lá então ver essa falha em ação objetiva que vá e os vírus da live do gelli clash para live da gabriela zambrozuski tampa das lives estão rolando como vocês

podem ver aqui primeiro passo é obter o broadcast egito da live da nossa vítima a live do gelli clash como já mencionei aqui o grande que a gente não é o auge da publicação do post da live da vítima pode the post é esse que aparece na url quando você entra em qualquer posto no facebook seja um vídeo uma live uma foto ou que for mas a gente precisa aqui do broadcast dia que ela vai de transmissão esse no início achei que fosse ter que mergulhar nas apis do facebook para buscar como extrair esse

bolo de caixa de uma live no também mas depois acabei tropeçando em uma forma bem mais simples de obter broadcast enquanto a gente tá assist indo uma live se a gente apertar f12 abrir as ferramentas de desenvolvedor e por na aba network dá para ver vários recordes que são relacionados a transmissão da mídia da live como as playlists e os fragmentos do streaming com as extensões m4v mp4 a mpb e esse número aqui que tá como o nome desses arquivos é justamente o broadcast and da live que a gente

está procurando vamos lutar sempre bom e seguir em frente para a gente precisa então do aí da página para onde a gente vai redir ecionar os vídeos da nossa vítima aqui no caso vai ser a página da gabriela zambrozuski acharam aí de uma página no face é bem mais tranquilo e tem até um site super simples que ajuda muito no processo que é esse site aqui ó aqui dentro é só furou rl da página e ele já retorna o facebook é de dela a gente anota e pronto agora que apesar de uma medida página que nós

usuário do face é administrador aquele usuário que está logado que a gente vai usar a sessão dele para explorar essa vulnerabilidade podemos usar esse mesmo site para isso e aqui no meu exemplo eu usei a página da diana que eu sou administrador e agora a senhora da gente montar o requests e explorar a falha eu preenchi todos os parâmetros lembrando que será que eu acho que já tá indo com os cookies a minha sessão autenticados tudo certinho aí eu executo e olha só apesar desse recorte retornar um

erro na live do jelly já aparece aqui a mensagem que ele iniciou um gangue street n e que todo mundo vai ser redirecionado para outra live em segundos e olha aí ó passando esses segundos e prontos e ele já estão todos na live da graves agora falta forma inclusive mostra uma mensagem automática na live da gabi dando as boas-vindas para os vírus que vieram aí da live do jelly aqui foram redirecionadas live do jerry e aqui a gente chega então na conclusão do processo a gente conseguiu tirar

todos os vírus que estavam assistindo a live do jerry enviar eles para uma outra live sem te r qualquer nível de permissão nas duas lives envolvidas economia tudo isso acontecendo tava confirmado já tava louco cara eu tinha em mãos uma baita de uma vulnerabilidade e permitiu redirecionar os vírus de qualquer live que tava aberta na plataforma de livestream do facebook para qualquer outra live que também fizesse parte do problema do facebook game já parou para pensar no impacto disso

imagina-se outrola se por exemplo a final de um campeonato da isl aqui é transmi tida no facebook ou se eu fizesse um script que fosse lá no facebook game pegasse todas as larvas que acontece em andamento e redirecionar de todo mundo para lá e da diana por exemplo e acima loucura né eu fiquei muito bombas e ver tudo a mais bizarra que foi um tiro certeiro eu realmente só tive essa hipótese de vulnerabilidade foi direto nela e o problema tava assim acontecendo ali onde eu tinha a inicialmente

criado essa hipótese que eu tava como eu falei desenvolvendo uma out ra parada não tava focado em caçar vulnerabilidade mas simplesmente tive esse instinto e deu boa tem um clara fiquei extremamente feliz que não confirmei minha falha escrevi um recorte para o programa de balde no facebook naquela mesma noite e para quem não sabe o que é um programa de bugue balde é um programa que recompensa pesquisadores de segurança que identificaram vulnerabilidades no seus sistemas financeiramente ou

seja eles estão publicamente falando que eles aceitam qu e pesquisadores cá sem falhas nos seus sistemas as suas aplicações reportem para eles e quando eles confirmarem com essa falha de fato é válido eles corrigem e remuneram você com uma graninha quanto mais crítica fora falha mas eles te pagam e apesar do nome esse bug balde eles não estão atrás de qualquer bug eles estão atrás de vulnerabilidade que são falhas que comprometam a confidencialidade a ligação a disponibilidade deles ou

a integridade dele e o programa de bang-bang no facebook é super tradicional e paga bem acima da média para se ter uma noção uma falha que permitia você acessar qualquer conta do facebook sem ter qualquer tipo de interação da vítima é recompensada em $40000 olha que beleza de recompensa mas voltando para mim a falha então naquela mesma noite no dia dois de junho eu comprei todas as minhas descobertas e escrever um relatório seguindo os padrões pedidos pelo problema de balde e mandei para eles já

no dia seguinte dia três de junh o facebook me respondeu dizendo que eles confirmaram a falha que eles conseguiram reproduzir lá do lado deles com base no que eu escrevi e eles confirmaram então que a falha existirá que me relatório era válido e que aquilo era assim uma vulnerabilidade ainda no dia três uma hora depois dessa mensagem que eu falei fez uma dar uma nova mensagem dizendo que já tinham encaminhado para o time que faria a correção dessa vulnerabilidade aí no dia dez de junho eu recebi

uma mensagem no face falando que já tinham então corrigindo a falha dia 12 eu respondi eles de novo dizendo que eu ti e novamente a falha para ver se a correção de fato tava válida eu tinha confirmado que sim de fato o problema tinha sido cinco corrigido e dei os parabéns pelo excelente trabalho na correção e aí no dia vinte de junho eu recebo uma mensagem de tanto deles dizendo que eles tinham avaliado a minha avó não é verdade estava me recompensando em $10000 e aí ele já mandaram um link com

todos os procedimentos para receber se eles retornaram também meu nome na lista de agradecimentos do programa de bug.do facebook tá disponível nesse link aqui inclusive encarar o meu nome ao canal aqui no youtube olha só que bacana muito obrigado o facebook é realmente uma baita honra nessa lista e eu dos meus sinceros parabéns ao facebook programa de ver dar um deles realmente é muito impecável funcionar tudo muito bem processo fluir super bem a comunicação sempre existiu e foi clara durante
todos os estágios ea recompensa como vocês viram é fantástica super acima da média realmente parabéns a todo o time de segurança informação do facebook aliás naquela mesma noite no dia dois eu acabei reportando uma segunda a cidade mais bem mais simplesinha de impacto bem menor eu não vou nem tão você tá ali delas aqui mas também foi uma vulnerabilidade aceita eu recebi o baú de mínimo para essa vou na verdade que foi de $500 que daí em torno de r$2000 e cá entre nós acabar sendo muito bem-v indo

entrou aí pra somatória dessa noite incrível do dia dois eu fui super bacana muito obrigado por essa também e por hoje é só quer saber aí de vocês que que vocês acharam dessa vulnerabilidade desse mecanismo aí dos hackers prestarem falhas reportagem para as empresas conta para mim tudo que achou aqui nos comentários e não esquece de deixar seu like nesse vídeo para fortalecer o canal e de se inscrever galera tem um visto nas estatísticas tem muita gente que não tá se inscrevendo no canal por

favor me dá aquela força é um clique para você se inscrever você vai dar uma força gigantesca para continuar produzindo conteúdo aqui para o canal beleza também acompanha lá no instagram é rouba gabriel pato tem meus stories minhas fotinhas lá que eu posso para interagir com vocês e também chega mais na página do facebook em facebook.com barra game pato tô voltando a postar bastante conteúdo por lá é um muito obrigado por e até aqui e a gente se vê era uma próxima hei n até lá pa Português

❌ (ALERTA) Conteúdo Gratuito ✅ CURSOFLEX ONLINE: PORTAL COM VARIOS CURSO e E-BOOKS GRATUITOS!

Aprenda de uma vez por toda montar seu negocio online em casa.

Clique no botão a baixo para acessar varios cursos gratis.