hackplayers

Reto 17: Toulouse

2013-05-21T18:45:00.000+02:00

Hace mucho que no preparábamos ningún reto así que retomamos el juego con uno bastante sencillo en una de las áreas que más nos gustan: la esteganografía.

Pongámonos en situación: "Un blog de actualidad sube regularmente vídeos de música electrónica y rap. Uno de sus autores trabaja para una organización secreta y en algunas situaciones utiliza uno de estos vídeos como canal encubierto para transmitir información confidencial a sus contactos.

El siguiente video de Nicky Romero es casi un himno del panorama electro y progressive, pero este en concreto contiene además información oculta que sólo estará disponible hasta que lo retire el propio autor o la DMCA };)

¿Serás capaz de obtener antes la información que oculta el video?"

El objetivo es obtener la información que oculta el video. Como siempre, el primero que la obtenga escribirá su nombre (o nick) en nuestra página de retos para siempre y, si no lo consigues, pues al menos habrás escuchado algo de buena música... ;)

Y para cualquier duda comenta esta entrada. Pero si lo consigues y superas el reto, no publiques la solución y mándanos el procedimiento seguido a nuestra cuenta de correo electrónico:

INTECO busca 20 expertos en ciberseguridad

2013-05-21T16:14:00.002+02:00

INTECO incrementa su plantilla con 20 puestos de técnicos expertos para su área de inteligencia en ciberseguridad.
Los candidatos deberán superar necesariamente una prueba práctica online.
INTECO aumenta así sus capacidades y continúa su consolidación como centro de referencia en el mapa nacional de la ciberseguridad.

León, 17 de mayo de 2013. El Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha publicado una convocatoria de puestos para técnicos expertos en ciberseguridad que se incorporarán a su equipo de respuesta a incidentes de seguridad (CERT).

El CERT de INTECO es el equipo encargado de la Respuesta a Incidentes de Seguridad que afectan a las tecnologías de la información en los ámbitos de Ciudadanía, Empresas, Infraestructuras Críticas (en estrecha colaboración con el Ministerio del Interior) y Red Académica y de Investigación a nivel nacional. En los últimos meses, ha puesto en marcha el área de inteligencia en ciberseguridad con el objetivo de incrementar sus capacidades de detección y reacción ante las amenazas emergentes en Internet.
Se cumple así con uno de los hitos más importantes en la nueva estrategia lanzada hace poco más de un año por la Sociedad consistente en la focalización de su actividad en ciberseguridad. En este tiempo, INTECO ha participado en la definición del marco estratégico de la ciberseguridad, en las principales actuaciones nacionales relacionadas con la materia y ha aumentado sus capacidades y competencias, duplicando el presupuesto y finalmente incrementando la plantilla con personal de elevada especialización.

Los candidatos seleccionados se unirán a un equipo mutidisciplinar, joven y altamente cualificado donde llevarán a cabo actividades como el análisis de malware, computer forensics, incident handling, desarrollo y despliegue de herramientas de detección, monitorización y análisis, así como otras actuaciones con alta carga de investigación e innovación. Todo ello, enfocado a los diferentes entornos tecnológicos que se imponen en la actualidad: SCADA, mobility, servidores, Smart Grid y otras arquitecturas tecnológicas de propósito general.

Un procedimiento de selección innovador que pondrá a prueba los conocimientos de hacking de los candidatos.

Además de acreditar sus conocimientos, experiencia y logros en estos ámbitos, los candidatos deberán superar una prueba online consistente en la resolución de un ejercicio práctico relacionado con la seguridad en la Red.

Sólo aquellos que superen el ejercicio práctico accederán al resto de pruebas del proceso que incluirán tanto habilidades técnicas como personales o competenciales.

La conclusión del proceso supondrá un paso decisivo en el crecimiento del Instituto para convertirse en uno de los centros de ciberseguridad técnicamente más especializados a nivel internacional.

La convocatoria de empleo permanecerá abierta hasta el 3 de junio de 2013. Los interesados encontrarán toda la información sobre el procedimiento de selección en la dirección web http://www.inteco.es/announcement/convocatorias/Empleo/

CTF365: El Mundo está inmerso en una silenciosa ciberguerra

2013-05-20T14:22:00.000+02:00

"El Mundo está inmerso en una silenciosa ciberguerra. Prepara tus herramientas y construye tu equipo. Defiende tu país mientras conquistas el mundo..."

Así comienza a anunciarse http://ctf365.com/, un interesante torneo en formato CTF (Capture The Flag) en el que varios equipos de cada país lucharán entre sí por defender y atacar distintos servidores denominados fortalezas.

El Combatiente
Un combatiente es un usuario con cuenta en CTF365. El combatiente tiene que declarar el país que está luchando. Un combatiente sólo podrá ser parte de un equipo a la vez. Los combatientes pueden unirse y salir de diferentes equipos.

El equipo
Un equipo debe tener al menos 5 combatientes (hackers) y no más de 10. Esto proporcionará la flexibilidad suficiente para ambas actividades: las capacidades defensivas y ofensivas. Cada equipo se iniciará con al menos una fortaleza. Sin fortaleza no hay CTF.

Las alianzas
Los equipos pueden crear alianzas y estrategias de ataques comunes. Sin embargo, si un usuario reclama una victoria sobre la fortaleza del enemigo los puntos van al equipo, a menos que su alianza con otros equipos se declare y registre como una alianza, en cuyo caso los puntos van igualmente a los equipos que forman la alianza.

La fortaleza (servidor)
En la competición CTF este sería el servidor a proteger mientras se intenta hackear otros servidores (siempre dependiendo de las normas y diseños).

- Cada fortaleza (Base Camp) tiene que ejecutar una lista de los servicios mínimos necesarios como SMTP, POP, IMAP, FTP, etc.
- La fortaleza debe tener al menos un CMS (Content Management System) + plugins específicos (álbumes de fotos, cuota social media, programas de vídeo incorporado, etc.
- La fortaleza debe tener al menos dos navegadores diferentes???.
- La fortaleza debe contener al menos 3 aplicaciones web.
- La fortaleza debe tener como mínimo de 2 bases de datos diferentes.

Premios
Cada campaña tendrá un premio distinto que se anunciará al mismo tiempo que la propia campaña.

Enlaces
http://ctf365.com/
http://blog.ctf365.com/

Entrevista de Jordi Évole a Julian Assange

2013-05-20T10:46:00.004+02:00

Totalmente recomendable. Si no la habéis visto todavía, no os podéis perder la entrevista de Jordi Évole a Julian Assange en la Embajada de Ecuador en Londres, en la que lleva ya casi un año recluido:

Actualización 21/05/2013: Antena 3 bloqueó el contenido del video en Youtube por motivos de derechos de copyright y lo hemos sustituido por el oficial del programa Salvados de La Sexta (gracias a @neofito y al comentario anónimo por el aviso).

Nueva vulnerabilidad CSRF en LinkedIn

2013-05-17T14:53:00.002+02:00

Vicente Aguilera, socio fundador de ISecAuditors, ha publicado una interesante PoC sobre una nueva vulnerabilidad CSRF (Cross Site Request Forgery) en LinkedIn que podría permitir a un atacante acceder a la información de cualquier contacto sin el conocimiento/consentimiento del usuario afectado.

Los pasos son los siguientes:

1.- visita LinkedIn.com y accede con el perfil que desees usar
2.- haz clic en añadir conexiones
3.- añade cualquier dirección de correo electrónico
4.- usa un proxy como WebScarab o Burp
5.- borra los parámetros que no son usados/validados

csrfToken
sourceAlias

6.- usa el método HTTP GET en lugar de POST
7.-

8.-

9-

Finalmente puedes ver el vídeo completo del PoC en el nuevo canal de ISecAuditors en Youtube:

Nuevo exploit para el escalado de privilegios local en Linux

2013-05-16T12:08:00.002+02:00

En abril, los desarrolladores de Linux solucionaron un puntero declarado incorrectamente en el kernel. Sin embargo parece que pasaron por alto las posibles implicaciones de seguridad de dicho fallo - en particular el hecho de que es posible acceder a casi cualquier área de memoria utilizando un event_id adecuado.

En cierta manera los desarrolladores lo solucionaron sólo parcialmente y declararon el bug como un agujero de seguridad oficial (CVE-2013-2094) después de que se publicara el exploit que demostraba que cualquier usuario loggeado en el sistema podía llegar a tener acceso como root de esta manera.

El fallo afecta a cualquier kernel cuya versión esté entre la 2.6.37 y la 3.8.9 y haya sido compilado con la opción PERF_EVENTS, al parecer el caso de muchas distribuciones. ¿Qué distribuciones exactas se ven afectadas? Pronto lo sabremos cuando empiecen a liberarse las actualizaciones de seguridad correspondientes. El experto en seguridad en Linux Brad Spengler ha publicado un análisis detallado del exploit que no conviene perderse.

Análisis del exploit: sd@fucksheep.org's semtex.c: Local Linux root exploit, 2.6.37-3.8.8 inclusive (and 2.6.32 on CentOS) 0-day
Fuente: Exploit for local Linux kernel bug in circulation

The New Yorker lanza Strongbox para la transmisión anónima y segura de información

2013-05-16T00:46:00.001+02:00

La revista The New Yorker ha anunciado Strongbox, un sistema que tiene por objetivo permitir compartir información sensible o cualquier otro tipo de noticia de manera segura, sin revelar la fuente o el origen.

"Esta mañana, The New Yorker lanzó Strongbox, un lugar en línea en el que la gente puede enviar documentos y mensajes a la revista y nosotros podemos darles un cierto nivel de anonimato", dijo la editora responsable, Amy Davidson.

El sitio hace uso de la red TOR y cifra los archivos con PGP. Una vez que los archivos se cargan, son transferidos a un equipo que no está conectado a Internet, que se borra cada vez que se enciende y se inicia desde un Live-CD.

El diario no grabará ningún detalle acerca de la visita del usuario, por lo que incluso una solicitud del gobierno no podrá encontrar información útil para rastrear la fuente. El propósito de esta iniciativa es el de mantener los datos de los periodistas, así como sus contactos, seguros para evitar intromisiones como le pasó a Associated Press con el registro telefónico de sus periodistas

La nueva plataforma de intercambio de The New Yorker está basada en DeadDrop, un proyecto de software libre creado por Aaron Swartz poco antes de su muerte que diseñó el sistema junto a Kevin Poulsen, un exhacker, ahora editor de la revista Wired.

Por otro lado, The Wall Street Journal ya tiene en funcionamiento su propio sistema, llamado SafeHouse, desde mayo de 2011.

Fuentes:
New Yorker Launches 'Strongbox' for Anonymous Transmission of Files
StrongBox y DeadDrop, proyectos para asegurar las fuentes de información
Introducing Strongbox
New Yorker lanza sistema para denuncias anónimas por internet

Paper Man: (probablemente) la película de hackers más antigua

2013-05-14T14:51:00.000+02:00

Paper Man es probablemente la película de hackers más antigua ya que data de 1971 (la mayoría de los que estamos leyendo ésto no habíamos nacido hasta mucho después!).

Dirigida por Walter Grauman y protagonizada por Dean Stockwell y Stephanie Powers, trata de una broma de un grupo de estudiantes universitarios que crean un personaje ficticio para obtener una tarjeta de crédito y que acaba convirtiéndose en una trama que deja tres muertos. Además podemos verla completa en Youtube (en versión original):

Blizzard bloquea todas las cuentas que usaron el exploit de Diablo III y dona sus ganancias a la caridad

2013-05-14T11:09:00.000+02:00

Una noticia breve para empezar el día: después de que el exploit de Diablo III permitiera a algunos jugadores duplicar su oro la semana pasada, Blizzard Entertainment ha tomado la decisión de banear a los jugadores que se aprovecharon de la vulnerabilidad y donar todas sus ganancias a la caridad.

Recordemos que Diablo III cuenta con una casa de subastas de dinero real y, tras el descubrimiento del bug de la semana pasada, más de 400 jugadores optaron por explotarlo para obtener beneficios económicos potenciales.

Sin embargo, tras el cierre de la casa de subastas y la corrección del exploit, Blizzard ha bloqueado o borrado todas las cuentas que participaron en la explotación, y donó todos los ingresos de las subastas a los Hospitales de niños Miracle Network.

Podéis encontrar más detalles en el post de John Hight en el foro oficial.

Parámetros sensibles en los logs de sesiones de Facebook (Facebook session Exploit Priv8)

2013-05-12T23:57:00.001+02:00

Viendo una entrada en Pastebin de Mauritania Attacker comprobamos el riesgo que tienen algunos logs de Facebook como `ci_sessions`, `WRITE` y otros, que son enviados por "login.facebook.com" a los servidores que usan diversos plugins y módulos de Facebook.

El problema es que estos logs contienen parámetros con información sensible de las cuentas usadas por los sitios web, entre ellos el hash de la contraseña en MD5 (texto ascii) lo que significa que puede ser descifrada sin problema ^_^ .

Estos parámetros son:

*fb_apiid
*fb_apikey
*fb_secret (Password of the Account in Hash MD5)
*fb_accesstoken
*fb_uservisitor
*facebook_id
*facebook_name
*facebook_first_name
*facebook_last_name
*facebook_link
*facebook_username
*facebook_hometown (tracer)
*facebook_location (tracer)

Un ejemplo de `ci_sessions` de Facebook:

"id\";s:1:\"1\";s:4:\"\";s:9:\"\";s:15:\"\";s:2:\"ar\";s:13:\"\";s:8:\"facebook\";s:8:\"fb_apiid\";s:15:\"223122544391265\";s:9:\"fb_apikey\";s:15:\"223122544391265\";s:9:\"fb_secret\";s:32:\"49c853d3d0718fd0419fd58ac183bbce\";s:3:\"url\";s:29:\"apps.facebook.com/oinstaller/\";s:18:\"status_visit_saved\";b:1;s:14:\"fb_accesstoken\";s:96:\"223122544391265|2.AQCOHzLLEQ5H_PqV.3600.1313622000.0-100001444879309|HrF0TGDVgG51z5Z8plmHNPiTXwA\";s:14:\"fb_uservisitor\";s:15:\"100001444879309\";s:11:\"facebook_id\";s:15:\"100001444879309\";s:13:\"facebook_name\";s:13:\"Owen Peredo D\";s:19:\"facebook_first_name\";s:4:\"Owen\";s:18:\"facebook_last_name\";s:8:\"Peredo D\";s:13:\"facebook_link\";s:34:\"http://www.facebook.com/owenperedo\";s:17:\"facebook_username\";s:10:\"owenperedo\";s:17:\"facebook_hometown\";O:8:\"stdClass\":2:{s:2:\"id\";s:15:\"106257366076550\";s:4:\"\";s:19:\"Cochabamba, Bolivia\";}s:17:\"facebook_location\";O:8:\"stdClass\":2:{s:2:\"id\";s:15:\"106257366076550\";s:4:\"\";s:19:\"Cochabamba, Bolivia\";}s:12:\"facebook_bio\";s:21:\"Alegre y divertido!!!\";s:13:\"facebook_work\";a:1:{i:0;O:8:\"stdClass\":5:{s:8:\"employer\";O:8:\"stdClass\":2:{s:2:\"id\";s:15:\"145505632143902\";s:4:\"\";s:8:\"Sysdecom\";}s:8:\"location\";O:8:\"stdClass\":2:{s:2:\"id\";s:15:\"106257366076550\";s:4:\"\";s:19:\"Cochabamba, Bolivia\";}s:8:\"position\";O:8:\"stdClass\":2:{s:2:\"id\";s:15:\"131462966897408\";s:4:\"\";s:19:\"Gerente Propietario\";}s:11:\"description\";s:27:\"Systems development Company\";s:10:\"start_date\";s:7:\"2008-01\";}}s:15:\"facebook_sports\";a:1:{i:0;O:8:\"stdClass\":2:{s:2:\"id\";s:15:\"103998839637434\";s:4:\"\";s:20:\"Association football\";}}s:23:\"facebook_favorite_teams\";a:1:{i:0;O:8:\"stdClass\":2:{s:2:\"id\";s:12:\"197394889304\";s:4:\"\";s:12:\"FC Barcelona\";}}s:26:\"facebook_favorite_athletes\";a:1:{i:0;O:8:\"stdClass\":2:{s:2:\"id\";s:15:\"176063032413299\";s:4:\"\";s:9:\"Leo Messi\";}}s:29:\"facebook_inspirational_people\";a:1:{i:0;O:8:\"stdClass\":2:{s:2:\"id\";s:11:\"19987834992\";s:4:\"\";s:11:\"Hilary Duff\";}}s:18:\"facebook_education\";a:3:{i:0;O:8:\"stdClass\":2:{s:6:\"school\";O:8:\"stdClass\":2:{s:2:\"id\";s:15:\"106494992721308\";s:4:\"\";s:24:\"joseph nicolas maldonado\";}s:4:\"type\";s:11:\"High School\";}i:1;O:8:\"stdClass\":2:{s:6:\"school\";O:8:\"stdClass\":2:{s:2:\"id\";s:15:\"106233722748482\";s:4:\"\";s:4:\"UMSS\";}s:4:\"type\";s:7:\"College\";}i:2;O:8:\"stdClass\":3:{s:6:\"school\";O:8:\"stdClass\":2:{s:2:\"id\";s:15:\"106462112722590\";s:4:\"\";s:30:\"Centro Boliviano Americano CBA\";}s:4:\"year\";O:8:\"stdClass\":2:{s:2:\"id\";s:15:\"201638419856163\";s:4:\"\";s:4:\"2011\";}s:4:\"type\";s:7:\"College\";}}s:15:\"facebook_gender\";s:4:\"male\";s:17:\"facebook_timezone\";i:-4;s:15:\"facebook_locale\";s:5:\"en_US\";s:18:\"facebook_languages\";a:2:{i:0;O:8:\"stdClass\":2:{s:2:\"id\";s:15:\"110343528993409\";s:4:\"\";s:7:\"Spanish\";}i:1;O:8:\"stdClass\":2:{s:2:\"id\";s:15:\"106059522759137\";s:4:\"\";s:7:\"English\";}}s:17:\"facebook_verified\";b:1;s:21:\"facebook_updated_time\";s:24:\"2011-08-10T12:59:54+0000\";s:16:\"campaign_user_id\";s:1:\"5\";s:10:\"fanpage_id\";s:15:\"181056671916971\";s:5:\"liked\";b:1;s:7:\"user_id\";s:15:\"100001444879309\";s:10:\"user_token\";s:96:\"223122544391265|2.AQCOHzLLEQ5H_PqV.3600.1313622000.0-100001444879309|HrF0TGDVgG51z5Z8plmHNPiTXwA\";s:16:\"id_pageinstalled\";s:2:\"63\";s:14:\"isFanpageAdmin\";b:1;}'),('63207e3bb6293317511e1731de110bdc','186.22.142.214','Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_2) App',1318966975,'a:31:{s:2:\"id\";s:1:\"1\";s:4:\"\";s:11:\"Frubis tabs\";s:15:\"\";s:2:\"ar\";s:13:\"\";s:8:\"facebook\";s:8:\"fb_apiid\";s:15:\"245451332140121\";s:9:\"fb_apikey\";s:15:\"245451332140121\";s:9:\"fb_secret\";s:32:\"01baa1f609949c21784fd5736835aad8\";s:3:\"url\";s:29:\"apps.facebook.com/frubistabs/\";s:18:\"status_visit_saved\";b:1;s:14:\"fb_accesstoken\";s:109:\"AAAB6hEsLCh4BAB1FXiROoo3QQ1HvUII6weseWOGxgxxX4u9zdtT82ZAjT9upMPx0fYFSTdaIbt5mnq6ghGHJkPEjOmeo1GOgWZCVnolwZDZD\";s:14:\"fb_uservisitor\";s:9:\"689991521\";s:11:\"facebook_id\";s:9:\"689991521\";s:13:\"facebook_name\";s:14:\"Matias O\'Keefe\";s:19:\"facebook_first_name\";s:6:\"Matias\";s:18:\"facebook_last_name\";s:7:\"O\'Keefe\";s:13:\"facebook_link\";s:37:\"http://www.facebook.com/matias.okeefe\";s:17:\"facebook_username\";s:13:\"matias.okeefe\";s:15:\"facebook_gender\";s:4:\"male\";s:14:\"facebook_email\";s:23:\"matias.okeefe@gmail.com\";s:17:\"facebook_timezone\";i:-3;s:15:\"facebook_locale\";s:5:\"es_LA\";s:17:\"facebook_verified\";b:1;s:21:\"facebook_updated_time\";s:24:\"2011-10-17T12:06:55+0000\";s:16:\"campaign_user_id\";i:7;s:10:\"fanpage_id\";s:15:\"146715982029180\";s:5:\"liked\";b:1;s:7:\"user_id\";s:9:\"689991521\";s:10:\"user_token\";s:109:\"AAAB6hEsLCh4BAB1FXiROoo3QQ1HvUII6weseWOGxgxxX4u9zdtT82ZAjT9upMPx0fYFSTdaIbt5mnq6ghGHJkPEjOmeo1GOgWZCVnolwZDZD\";s:16:\"id_pageinstalled\";N;s:14:\"isFanpageAdmin\";b:0;s:11:\"fanpage_url\";s:60:\"http://www.facebook.com/HeladosChungo?sk=app_245451332140121\";}'),('b20a63bc8a68f130feb7321c58b56d8d','190.244.13.94','Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:7.',1318967000,'a:30:{s:2:\"id\";s:1:\"1\";s:4:\"\";s:11:\"Frubis tabs\";s:15:\"\";s:2:\"ar\";s:13:\"\";s:8:\"facebook\";s:8:\"fb_apiid\";s:15:\"245451332140121\";s:9:\"fb_apikey\";s:15:\"245451332140121\";s:9:\"fb_secret\";s:32:\"01baa1f609949c21784fd5736835aad8\";s:3:\"url\";s:29:\"apps.facebook.com/frubistabs/\";s:18:\"status_visit_saved\";b:1;s:14:\"fb_accesstoken\";s:114:\"AAAB6hEsLCh4BADXOQ8vp0cUYZBGYTe9eSHygszNz7ogX0qBFNm2I2JAexwCtdDcQd7pPcX7EUB0XE5K8asIaMDRAFlQ4DiLfpeC9fxsit494Ev5c6\";s:14:\"fb_uservisitor\";s:15:\"100000365619835\";s:11:\"facebook_id\";s:15:\"100000365619835\";s:13:\"facebook_name\";s:13:\"House Gregory\";s:19:\"facebook_first_name\";s:5:\"House\";s:18:\"facebook_last_name\";s:7:\"Gregory\";s:13:\"facebook_link\";s:54:\"http://www.facebook.com/profile.php?id=100000365619835\";s:15:\"facebook_gender\";s:4:\"male\";s:14:\"facebook_email\";s:20:\"sfarsuau@hotmail.com\";s:17:\"facebook_timezone\";i:-3;s:15:\"facebook_locale\";s:5:\"en_US\";s:17:\"facebook_verified\";b:1;s:21:\"facebook_updated_time\";s:24:\"2011-10-06T22:24:58+0000\";s:16:\"campaign_user_id\";i:8;s:10:\"fanpage_id\";s:15:\"146715982029180\";s:5:\"liked\";b:0;s:7:\"user_id\";s:15:\"100000365619835\";s:10:\"user_token\";s:114:\"AAAB6hEsLCh4BADXOQ8vp0cUYZBGYTe9eSHygszNz7ogX0qBFNm2I2JAexwCtdDcQd7pPcX7EUB0XE5K8asIaMDRAFlQ4DiLfpeC9fxsit494Ev5c6\";s:16:\"id_pageinstalled\";N;s:14:\"isFanpageAdmin\";b:0;s:11:\"fanpage_url\";s:60:\"http://www.facebook.com/HeladosChungo?sk=app_245451332140121\";}'),('9f82abf03ee6c9c9c052d306452b72d2','200.125.109.35','Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KH',1318967163,'a:19:{s:2:\"id\";s:1:\"1\";s:4:\"\";s:11:\"Frubis tabs\";s:15:\"\";s:2:\"ar\";s:13:\"\";s:8:\"facebook\";s:8:\"fb_apiid\";s:15:\"245451332140121\";s:9:\"fb_apikey\";s:15:\"245451332140121\";s:9:\"fb_secret\";s:32:\"01baa1f609949c21784fd5736835aad8\";s:3:\"url\";s:29:\"apps.facebook.com/frubistabs/\";s:18:\"status_visit_saved\";b:1;s:14:\"fb_accesstoken\";s:0:\"\";s:14:\"fb_uservisitor\";s:0:\"\";s:16:\"campaign_user_id\";s:0:\"\";s:10:\"fanpage_id\";s:15:\"146715982029180\";s:5:\"liked\";b:0;s:7:\"user_id\";s:0:\"\";s:10:\"user_token\";s:0:\"\";s:16:\"id_pageinstalled\";N;s:14:\"isFanpageAdmin\";b:0;s:11:\"fanpage_url\";s:60:\"http://www.facebook.com/HeladosChungo?sk=app_245451332140121\";}'),('bab185c44a703272b8324c3915e14f45','190.16.128.144','Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_2) App',1319156401,'a:30:{s:2:\"id\";s:1:\"1\";s:4:\"\";s:11:\"Frubis tabs\";s:15:\"\";s:2:\"ar\";s:13:\"\";s:8:\"facebook\";s:8:\"fb_apiid\";s:15:\"245451332140121\";s:9:\"fb_apikey\";s:15:\"245451332140121\";s:9:\"fb_secret\";s:32:\"01baa1f609949c21784fd5736835aad8\";s:3:\"url\";s:29:\"apps.facebook.com/frubistabs/\";s:18:\"status_visit_saved\";b:1;s:14:\"fb_accesstoken\";s:119:\"AAAB6hEsLCh4BAID3FIcZB1aYt8df7W853hvRCCPXZB4ktWLUpLyWEpynMQNFZCTjxCvCmOmnLktygK583TNAzeiWgEpAZAlNERYiiQZCftm6kbZCij0vE8\";s:14:\"fb_uservisitor\";s:15:\"100001952113675\";s:11:\"facebook_id\";s:15:\"100001952113675\";s:13:\"facebook_name\";s:11:\"Enzo Sifrub\";s:19:\"facebook_first_name\";s:4:\"Enzo\";s:18:\"facebook_last_name\";s:6:\"Sifrub\";s:13:\"facebook_link\";s:54:\"http://www.facebook.com/profile.php?id=100001952113675\";s:15:\"facebook_gender\";s:4:\"male\";s:14:\"facebook_email\";s:31:\"francisco.valenzuela@frubis.com\";s:17:\"facebook_timezone\";i:-3;s:15:\"facebook_locale\";s:5:\"es_LA\";s:17:\"facebook_verified\";b:1;s:21:\"facebook_updated_time\";s:24:\"2011-10-20T14:53:31+0000\";s:16:\"campaign_user_id\";i:9;s:10:\"fanpage_id\";s:15:\"146715982029180\";s:5:\"liked\";b:1;s:7:\"user_id\";s:15:\"100001952113675\";s:10:\"user_token\";s:119:\"AAAB6hEsLCh4BAID3FIcZB1aYt8df7W853hvRCCPXZB4ktWLUpLyWEpynMQNFZCTjxCvCmOmnLktygK583TNAzeiWgEpAZAlNERYiiQZCftm6kbZCij0vE8\";s:16:\"id_pageinstalled\";N;s:14:\"isFanpageAdmin\";b:0;s:11:\"fanpage_url\";s:60:\"http://www.facebook.com/HeladosChungo?sk=app_245451332140121\";}'),('3a6f810a85da6f7045d88aad108f33f3','190.224.151.198','Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KH',1319156419,'a:31:{s:2:\"id\";s:1:\"1\";s:4:\"\";s:11:\"Frubis tabs\";s:15:\"\";s:2:\"ar\";s:13:\"\";s:8:\"facebook\";s:8:\"fb_apiid\";s:15:\"245451332140121\";s:9:\"fb_apikey\";s:15:\"245451332140121\";s:9:\"fb_secret\";s:32:\"01baa1f609949c21784fd5736835aad8\";s:3:\"url\";s:29:\"apps.facebook.com/frubistabs/\";s:18:\"status_visit_saved\";b:1;s:14:\"fb_accesstoken\";s:117:\"AAAB6hEsLCh4BAA8FKmqrg6p8CG0D5FZA8FXwStCsrZBnrEZCVQlbY6BynCZBS1QNyBdD5q3zXwt51WUMYtrUPPAuUXE5epaPFKlXOV6XpQMvNA7a3srP\";s:14:\"fb_uservisitor\";s:10:\"1089777996\";s:11:\"facebook_id\";s:10:\"1089777996\";s:13:\"facebook_name\";s:17:\"Luciano Balmaceda\";s:19:\"facebook_first_name\";s:7:\"Luciano\";s:18:\"facebook_last_name\";s:9:\"Balmaceda\";s:13:\"facebook_link\";s:39:\"http://www.facebook.com/lucho.balmaceda\";s:17:\"facebook_username\";s:15:\"lucho.balmaceda\";s:15:\"facebook_gender\";s:4:\"male\";s:14:\"facebook_email\";s:27:\"lucho.balmaceda@hotmail.com\";s:17:\"facebook_timezone\";i:-3;s:15:\"facebook_locale\";s:5:\"es_LA\";s:17:\"facebook_verified\";b:1;s:21:\"facebook_updated_time\";s:24:\"2011-10-19T14:48:37+0000\";s:16:\"campaign_user_id\";i:10;s:10:\"fanpage_id\";s:15:\"146715982029180\";s:5:\"liked\";b:1;s:7:\"user_id\";s:10:\"1089777996\";s:10:\"user_token\";s:117:\"AAAB6hEsLCh4BAA8FKmqrg6p8CG0D5FZA8FXwStCsrZBnrEZCVQlbY6BynCZBS1QNyBdD5q3zXwt51WUMYtrUPPAuUXE5epaPFKlXOV6XpQMvNA7a3srP\";s:16:\"id_pageinstalled\";N;s:14:\"isFanpageAdmin\";b:0;s:11:\"fanpage_url\";s:60:\"http://www.facebook.com/HeladosChungo?sk=app_245451332140121\";}');

Un ejemplo de sesión `WRITE` de Facebook:

(6,'fbsecret','823215e0b822191b1451b7f48f877dd5'),
(5,'fbapi','ffc4ba57627eebfd1d41ca7d7107123e'),
(7,'pageid','188846611127079'),
(8,'pagename','St Maria Goretti Church'),
(9,'pagetoken','122582234479418|a17360823010b076c960588f-58100826|188846611127079|F7ae3Q3oYkZsu6TwJls-7EZx8PM'),
(10,'Cancellations','2'),
(11,'Bulletins','3'),
(12,'Cancellations/Delays','4'),
(13,'Church Blog','')

Y algunos dorks que puedes usar (o crear los tuyos propios):

Dork1: ext:sql "fb_secret\"
Dork2: ext:sql "fb_username\"
Dork3: ext:sql "fb_id\"
Dork4: ext:sql "fb_secret\" ci_sessions
Dork5 : ext:sql "fb_secret\" WRITE

Ten en cuenta que casi todos los CMS como "Wordpress" , "Joomla" , "Drupal" , etc.. y otros sitios web tienen este bug y es posible encontrar esta información en otras extensiones de archivo:

"sql" , "xml" , "dat" , "txt"

Por ejemplo, información sensible en Twitter : http://www.hackerzadda.com/2013/05/twitter-exploit-priv8-2013.html