31 agosto 2011 ~ 22 Comments

No mas FBackUP

General OFF Topic

Queridos usuarios de la aplicacion, lamentamos informarles que no se va a volver a publicar ninguna nueva version de FBackUP para ver fotos de otras personas en Facebook.
El motivo es simple, las vulnerabilidades han sido parcheadas, y el nuevo metodo que estabamos usando nos consumia muchos recursos y no tenemos una gran infraestructura para dicho proyecto

En un mes nuestra db se cargo con ’4 millonesde registros’ (en una sola tabla que almacenaba userID(bigInt) y albumID(bigInt) ).

De paso quiero comentar como fue que funcionaron las 2 versiones:

La primera version funcionaba pasando como token MD5 (siempre numerico) al public link del album, de esta forma podiamos obtener todos los links permanentes de cada foto subida por el usuario como si este mismo la hubiera compartido con alguna persona externa a la red social.
Tambien hicimos uso del fallo de seguridad en la API 2007-2009 para la obtencion de fotos en la seccion developers con la famosa FQL donde podiamos hacer algo como

$albums = $facebook->api_client->photos_getAlbums($userID, null);

Este metodo nos traia un objeto con todos los id de albumes de dicho usuario, y cada album un array con sus id de fotos.

Para resumir, hicimos un aprobechamiento de estas 2 vulnerabilidades (la primera era desconocida hasta este mismo momento y la segunda tuvo cierta fama). Donde finalmente con un buen front-end / diseño, solo era cuestion de buscar a la persona por su nombre y asi obtener todas sus fotos.

La segunda version era mas del estilo social engineering, la cual funcionaba mas o menos de esta forma:

Quiero espiar a X, el tiene un amigo en comun conmigo que es Y
Posibilidades varias, cuales?

Metodo1: Busco todos los albumes de mis amigos en comun con Y, recorro foto por foto y chequeo si en alguna de ellas esta presente la ID de la victima (etiquetada)

Metodo2: Busco todos los albumes en los que aparecen etiquetados mis amigos en comun con Y, recorro foto por foto y chequeo si en alguna de ellas esta presente la ID de la victima (etiquetada)

Metodo3: Recorro amigos en comun con X y me fijo todas las fotos en que fue etiquetado cada amigo, para ver si alguno de los albumes pertenece a X

Metodo4: Busco si X etiqueto a Y en una foto, obtengo el id de dicho album y obtengo las fotos.

Metodo5: Busco si Y comento una foto de X, esto me da acceso al album y asi a sus fotos.

Todos estos metodos funcionaban a la perfeccion y con muy buenos resultados si la persona tenia varios amigos en comun con nosotros. El problema es que los recorridos de cada metodo llevaban bastante tiempo, y mucho mas si habia varios albumes con muchas fotos!

Aqui unas screenshots de la aplicacion para quienes no llegaron a conocerla

Agradecemos a todos los usuarios que usaron nuestra aplicacion y esperamos que puedan seguirnos en nuevos proyectos como por ejemplo ScanTwit.

Saludos @joni2back y @juansanzone

Tags: ,

22 Responses to “No mas FBackUP”

  1. vaner 6 septiembre 2011 at 1:17 Permalink

    felicitaciones chicos!!! muy buenos laburos!!!

  2. Yoooooo 7 septiembre 2011 at 15:23 Permalink

    Por favoooor…..es urgente, necesito ver unas fotos; no tengo amigos en común, pero es muy importante para mi.son unos fenómenos, se que ustedes lograran algo muy pronto, mucha fuerza desde aqui…..

  3. Uzhii' Buendia Cruz 16 septiembre 2011 at 17:09 Permalink

    Hi

  4. kandy Ramos 25 septiembre 2011 at 4:43 Permalink

    necesito ver fotografias d algunas personas en facebook,y no puedo xq. me han bloqueado necesito q hagan algo para poder verlas se los agradeceria mucho,. mil gracias

  5. alex 30 septiembre 2011 at 23:51 Permalink

    xD

  6. alex 30 septiembre 2011 at 23:51 Permalink

    nose

  7. nails 11 octubre 2011 at 14:11 Permalink

    necesito ver el perfil de una persona.sin tener que registrarme en facebook.

  8. patricio 14 octubre 2011 at 10:04 Permalink

    saludos

  9. ricardo 24 octubre 2011 at 0:08 Permalink

    necesito ver las fotos de una persona en facebook sin tener que agregarla (o) como amiga (o) por facor es muy importante para mi se que me daras una respuesta pronto…animo

  10. adrian 25 noviembre 2011 at 0:11 Permalink

    bueno

  11. Daly 27 noviembre 2011 at 23:13 Permalink

    Necesito ver unas fotos de dos amigos para que yo sepa , por favor me puedes dar

  12. roberto 28 noviembre 2011 at 13:21 Permalink

    por favor, necesitamos esa aplicación de nuevo.
    Gracias.

  13. Male 30 diciembre 2011 at 2:45 Permalink

    Necsesito ke me ayuden para poder der su perfil se podra

  14. Muto Bien 7 enero 2012 at 16:04 Permalink

    Necesito que me chupen la pija con urgencia.
    F:Ahree

  15. Mark 8 enero 2012 at 9:49 Permalink

    Al que quieren que le chupen la pija al momento..
    Que llame a su madre, que seguro como buena madre que es…le hace un buen mameluco.

  16. mark 18 enero 2012 at 18:14 Permalink

    necesito saber como ver los comenarios y fotos de las otro usuario de facebook? ayuda urgente porfa

  17. clau 29 enero 2012 at 11:40 Permalink

    necesito ver el face de un enemigo pero sin registrarme…. como se dice al enemigo hay ke tenerlo cerca

  18. sabrina noe rodriguez 20 febrero 2012 at 1:55 Permalink

    y??

  19. Matyyas Ignacio Correa 26 febrero 2012 at 2:45 Permalink

    asdasd

  20. carlos 6 marzo 2012 at 5:45 Permalink

    chido :D

  21. carlos duron 6 marzo 2012 at 5:47 Permalink

    chido :)

  22. carlos 6 marzo 2012 at 5:50 Permalink

    chido…


Leave a Reply