28 julio 2010

La wordlist por excelencia: 100 millones de usuarios de Facebook

Ron Bowes de SkullSecurity.org publicó ayer un interesante artículo con unos resultados también muy interesantes, y útiles sobre todo: Cómo consiguió un listado con unos 150 millones de usuarios de Facebook. Ni inyección SQL, ni acceso al panel de administrador ni nada de nada. Tranquilidad.

Tras seguir un tweet de FSLabs en el que se indicaba una dirección con una especie de directorio de esta red social (http://www.facebook.com/directory), Ron vió la luz.



Vió la luz, y un buen puñado de nombres y apellidos, como es de esperar en un directorio. Tenía dos opciones: ir nombre por nombre, obteniendo su url de perfil y su nombre y apellidos...o hacerse un pequeño script que hiciese esta labor tan ardua. No era algo descabellado: justamente ya comentamos por aquí como Mark Zuckerberg utilizó estos mismos métodos para engendrar The Facebook.

Y así fue, tras dejar que funcionase un buen rato, obtuvo el listado completo de los usuarios de Facebook que no tuviesen la protección frente a búsquedas activadas en sus opciones de privacidad. Una gran mayoría por lo que parece. Aunque sabemos que hace poco llegó a 500 millones, lo obtenido por Ron es más que suficiente como muestra para su siguiente acción: es el turno de las estadísticas, análisis de todo el directorio obtenido y posterior creación de listas basadas en diferentes criterios (primera letra del nombre seguida de apellidos, nombres de usuarios, nombre con un punto y apellido, etc).

¿Pero para que podrían servirnos estas listas si no nos interesan mucho las estadísticas? Muy sencillo: si os veis en la situación de necesitar una enumeración de usuarios válidos para un servicio (¿alguien ha dicho fuerza bruta? yo no), con esta y otras listas seguro que se consigue por lo menos algún que otro nombre correcto y registrado. Al fin y al cabo, la fuente es más que fidedigna. 



Ron ha puesto a disposición de todo el mundo, mediante torrent, el compilado con las listas que os comentamos, el volcado de todo el directorio con direcciones del perfil, nombres, apellidos y demás, así como las herramientas utilizadas, scripts, etc. Como bien dice, es tontería volver a lanzar las herramientas y gastar ciclos y memoria, así que si queréis haceros vuestras listas con criterios personalizados, podréis descargar el fichero de torrent (comprimido de unos 2.79 Gb) en esta dirección.

En los comentarios, se revelan más direcciones de facebook que podrían resultar interesantes...

[+] Return of the Facebook Snatchers (skullsecurity.org)

3 comments :

4v4t4r dijo...

Que labor!!!

Cuando me enteré de la noticia me apresuré en descargar los archivos... Tremendo recurso para quienes trabajamos en actividades relacionadas a los test de intrusión ya que constantemente requerimos diccionarios bien elaborados...

http://img19.imageshack.us/img19/505/facebookusers.jpg

Anónimo dijo...

Yo no recomendaría públicamente que nadie se bajara dicho fichero... La AEPD puede enfadarse un poco con los que lo hagan, si los denuncian ;)

vlan7 dijo...

Hasta donde yo se, el responsable en todo caso para la AEPD seria Facebook. Recordemos lo que ocurrio hace años con el bug que se hizo publico y que permitia bajar datos de clientes de Telefonica. La que tuvo que pagar a la AEPD fue Telefonica.

Suerte,