MariaPitaDefCon 2017 – Facebook entra en juego (15 ptos)

Seguimos con los writeups del primer día del CTF de la MariaPitaDefCon.

06/03/2017

Facebook entra en juego

(15 pts)

No te lo vas a creer! Me acaban de agregar una persona en facebook que no tengo ni idea de quién es!

Se trata de una tal almudena.juan.94… Pero es que lo extraño es que en su perfil no tiene nada publicado!

No entiendo nada… Supongo que si tuviéramos su correo electrónico podríamos localizarla mejor no?

Me podrías ayudar tú? Dime que sí…

Este es el primero de una serie de 3 retos diseñados por netting (https://netting.wordpress.com/) que acompañados de su charla durante la MariaPita nos ayudó a concienciarnos sobre la importancia de la privacidad en facebook.

Por si no lo sabíais Facebook, en su opción para resetear tu contraseña, nos permite utilizar distinta información para identificar la cuenta: email, número de teléfono o nombre de usuario. En este caso disponemos de este último así que nos vamos a la página de recuperar contraseña y utilizamos dicho nombre de usuario:

Como podéis ver obtenemos el dominio, y la primera y la última letra, así como la longitud del usuario, aunque este último sale parcialmente oculto. Con toda esta información podemos deducir que el usuario es almudenajuan y el servidor de correo hotmail.

Después de validar confirmamos que la flag es: almudenajuan@hotmail.com

Esta entrada fue publicada en ctf, facebook, mariapitadefcon, trileuco, writeups. Guarda el enlace permanente.

Deja un comentario