$9.000 cho 2 bugs: Lộ thông tin thành viên trong nhóm riêng tư của Facebook.

Dịch bài từ tác giả Baibhav Anand trên Medium.
Xin chào gia đình Bug Bounty, trong bài viết này tôi sẽ chia sẻ về 2 bugs mà tôi tìm được trên Facebook, mỗi bug $4.500, tổng là $9.000
Bug 1st:
Mô tả: Một tài khoản không phải là thành viên của nhóm riêng tư nhưng có thể phát hiện ai là thành viên của nhóm riêng tư đó hay không thông qua truy vấn graphSQL có tên là CometHovercardQueryRendererQuery. Doc_ID: 4997502340291357. Bằng cách thay đổi giá trị actorID bằng giá trị actorID của nạn nhân và groupID là nhóm riêng tư mà bạn muốn kiểm tra. Nếu trong kết quả trả về là "WeakEntityReference" thì người đó không phải thành viên của nhóm riêng tư đó, nếu kết quả trả về là "StrongEntityReference" thì người đó là thành viên của nhóm riêng tư.
Các bước tiến hành:
1. Từ tài khoản Facebook không phải là thành viên của nhóm riêng tư, gửi một yêu cầu (request) tới graphSQL với giá trị actorID được thay đổi bằng actorID của một tài khoản Facebook nạn nhân (tài khoản muốn kiểm tra xem có phải là thành viên không?) và groupID là ID của nhóm riêng tư muốn kiểm tra (sử dụng burpsuite như hình 2).
2. Nếu bạn nhận được “StrongEntityReference” trong kết quả, tài khoản đó là thành viên của nhóm riêng tư. Tuy nhiên, nếu bạn nhận được “WeekEntityReference” trong kết quả trả về thì người đó không phải thành viên nhóm riêng tư. Sử dụng cách này để có thể phát hiện ai là thành viên của nhóm riêng tư hay không.

Bounty: $4.500
Video PoC: https://drive.google.com/file/d/1XAitPW8Evnoh11N8yQqkAxKkyX3zpFSK/view?usp=sharing

Bug 2nd: (sử dụng điện thoại với phần mềm FBLite)
Mô tả: Có thể phát hiện thành viên nhóm riêng tư thông qua ứng dụng FBLite, trong chức năng hiển thị bài đăng của thành viên trong nhóm.
Các bước:
1. Từ tài khoản A trong ứng dụng Fblite (lúc này A là thành viên của nhóm), tiến hành truy cập nhóm.
2. Từ tài khoản A trên máy tính, thực hiện thao tác thoát khỏi nhóm.
3. Lúc này, khi click vào tên thành viên khác trong nhóm trên FBLite tôi không thể xem được bài đăng của thành viên đó nhưng vẫn xem được thời gian thành viên đó tham gia nhóm.
4. Tại thời điểm này, tôi vẫn có thể xem thời gian tham gia nhóm của tài khoản B và tài khoản C (B, C là thành viên trong nhóm).
5. Từ tài khoản B trên máy tính, tôi thoát khỏi nhóm.
6. Lúc này, tôi không thể nhìn thấy thời gian tham gia nhóm của tài khoản B nữa nhưng vẫn nhìn thấy thời gian tham gia nhóm của tài khoản C.
7. Tôi tiếp tục thử bằng cách dùng tài khoản C trên máy tính, thực hiện thao tác thoát khỏi nhóm.
8. Đến lúc này, tôi không thể nhìn được thời gian tham gia nhóm của tài khoản C nữa. Bug đã được xác định.

Bounty: $4.500
Video PoC: https://drive.google.com/file/d/16Po19jSemG-SBwTMwfftQrFaZQ8zyXeN/view?usp=drivesdk

Twitter tác giả: https://twitter.com/spongebhav
Source: https://spongebhav.medium.com/facebook-group-members-disclosure-e53eb83df39e

#j2team_share, #bugbounty, #medium, #facebook

Adguard & Adguard Pro đã chính thức cập nhật phiên bản 4.0.1

Dưới đây là video hướng dẫn chặn quảng cáo #Facebook 100% không cần jaibreak, kể cả những quảng cáo được tài trợ, chặn thu hồi chứng chỉ trên Adguard Pro bản cũ.

Bạn nào đã cập nhật lên 4.0.1 có thể thiết lập theo hướng dẫn này: https://github.com/bigdargon/hostsVN/wiki/Adguard-Pro

Cảm ơn bộ lọc chất lượng & hướng dẫn cự kì hữu ích của đội ngũ HostsVN ❤️

#iAPServer #HostsVN #Adguard
#j2team_share

# [GÓC CHIA SẺ]

#j2team_share #j2team_tutorial

và cả:

#j2team_question #j2team_discussion
## VUI QUÁ NÊN CHIA SẺ VỚI ANH EM J2TEAM 1 CHÚT <3

Hôm nay mùng 1 đầu tháng cả âm cả dương mà sáng giờ quá nhiều tin vui luôn Sau cả ngày sáng giờ toàn tin vui và đi đâu cũng được việc thì tự nhiên buổi chiều đang ngồi check mail, thấy #Facebook phản hồi về việc CHÍNH THỨC CẤP TICK XANH xác nhận cho tài khoản của mình.

Tự cá nhân mình đã gửi request và làm việc TRỰC TIẾP với FB từ ngày 4/7/2019, sau 1 thời gian dài sử dụng FB và cảm thấy những đóng góp trong thứ hạng contribute của mình dành cho FB cũng k đến nỗi tồi + lịch sử sử dụng cũng rõ ràng và sạch sẽ nên mình quyết định tự gửi Request, follow theo bài viết từ chính chủ Facebook là bài viết sau:
> https://www.facebook.com/FacebookVietnam/posts/2478605125493253

Cuối cùng thì hôm qua FB cũng đã tiếp nhận Request này và ngay hôm nay cũng đã có Email phản hồi về kết quả xem xét luôn. Tài khoản FB cá nhân của mình đã chính thức được xác minh với Tick xanh chính chủ Tự chúc mừng bản thân phát vì may mắn hehe

Mình chia sẻ đến các bạn link trên để mọi người tự tìm hiểu và follow theo hướng dẫn của chính đội ngũ Facebook nếu có nhu cầu muốn tự xin cấp xác minh cho tài khoản tương ứng theo nhu cầu héng. Mình chỉ biết chúc các bạn may mắn và sớm thành công để đạt được mục đích, chứ chính bản thân mình còn không tin nổi là mình lại được duyệt nhanh đến thế ^^~

Hãy cứ thử gửi Request cho FB xem, giống như đi xin Visa vậy, nếu có bị Fail thì 30 ngày sau mới được gửi lại Request mới. Nhưng hãy cứ chân thành và thẳng thắn vào đúng mục đích mình cần (ảnh số 2 là cách mình trả lời với đội ngũ của FB). Ngoài ra khi nộp hình ảnh giấy tờ tùy thân, mình không biết điều này có đúng không nhưng nghe nói ảnh chụp Passport sẽ có giá trị hơn CMND (mình không sure lắm về việc này)

*Trong ảnh mình đã che đi tên và chức danh của nhân viên Facebook đang làm việc với mình qua Email, nhiều người sẽ nghĩ điều này là không to tát nhưng khi chưa rõ về sự cho phép của người đó, đây là điều tối thiểu mình nghĩ là mình nên làm

À và có 1 điều mình muốn lưu ý, trong bài viết của FB, đội ngũ FB cũng đã ghi rõ:
> "Đặc biệt lưu ý: Đừng bao giờ hợp tác với các cá nhân hoặc doanh nghiệp đảm bảo bạn sẽ nhận được “tick xanh” để đổi lấy tiền. Chúng tôi không bán “tick xanh” và bất kỳ tài khoản nào có liên quan đến việc bán “tick xanh” sẽ bị xóa biểu tượng. Chúng tôi cũng có quyền xóa “tick xanh” khỏi tài khoản tùy theo quyết định của mình."

Điều này có nghĩa là, đừng cố gắng "mua bán" để có được tick xanh NẾU BẠN KHÔNG THỰC SỰ BIẾT RÕ BÊN ĐANG "BÁN" CHO BẠN LÀ NGƯỜI RA SAO, THUỘC CÔNG TY/TỔ CHỨC NÀO VÀ CÁCH THỨC ĐỂ HỌ "BÁN TICK XANH" CỤ THỂ RA SAO, v.v

FB đã khẳng định họ không bán dịch vụ này, và mình cũng khuyến cáo là không nên tìm cách "mua bán tick xanh" nếu bạn đang không làm việc trong ngành giải trí hay có 1 công ty giải trí phía sau đang thực sự trực tiếp làm việc với FB về vấn đề này. Vì một khi họ cấp cho bạn được thì họ cũng sẽ gỡ xuống được, hoặc có thể có hành động làm tổn hại đến FB của bạn bất cứ lúc nào nếu đó không phải là 1 công ty chuyên nghiệp và uy tín. Hãy đọc kỹ từng lời trong Caption của bài viết trong link trên từ chính FB, bạn sẽ hiểu rõ nguyên do của vấn đề.
* Ngoài ra, dành cho những ai chưa biết "Tick xanh" trên FB là gì, nó có lợi ra sao cho chủ nhân thì bạn cũng có thể đọc thêm bài viết này của chính đội ngũ Facebook Việt Nam chia sẻ:
> https://www.facebook.com/FacebookVietnam/posts/2471382109548888
* Kết, chúc các bạn luôn vui vẻ, hạnh phúc và đừng ngừng chia sẻ những thứ hữu ích đến với cộng đồng MXH này, sân chơi của tất cả chúng ta

================================
# Mình đặt cả hashtag #question và #discussion là vì:

Có 1 vài cơ chế mình chưa hiểu lắm cho việc này nên thử để lại câu hỏi cho anh em nào biết thì chia sẻ cho mọi người cùng biết với heng (nếu có thể). Vì thấy trong Group chúng ta nhân tài đóng góp cho FB nhiều lắm <3

1. Việc Verified này ngoài những yêu cầu như form request, các vấn đề như số friends, follower, tương tác, v.v có ảnh hưởng đến kết quả không?
1. Việc contribute cho FB trước giờ mình hay làm gồm có 2 việc chính: Dịch thuật + Địa điểm. Cụ thể là khi đang dùng FB trên App hay trên Browser thì nó hay hỏi mấy câu kiểu như "bản dịch này có đúng không?", hay "Địa điểm này có chỗ đậu xe oto không?" , v.v Thì những cái đóng góp này có ảnh hưởng đến việc được duyệt Tick xanh không?
1. Việc sử dụng #J2TEAMSecurity trước giờ để bảo vệ Avatar có ý nghĩa gì trong việc này không?
> Ở câu hỏi 2, nếu có ảnh hưởng thì cách để xem lại quá trình mình đã contribute cho FB của mục địa điểm nó nằm ở link nào anh em nhỉ? Mình chỉ tìm lại được cái link quá trình contribute "Dịch thuật" thôi, đó là: https://www.facebook.com/translations/?ref=bookmark . Lúc trước mỗi lần đóng góp cho FB ở các câu hỏi về "Location" thì mình có vào check thử thấy account của mình đang ở level mười mấy hay hai mấy gì đó. Giờ muốn vào xem lại mà không biết phải vào link nào.

Cảm ơn anh em đã đọc bài <3 Chúc toàn thể anh em trong group luôn mạnh khỏe <3

#j2team_share
Trong cuộc sống này, chắc hẳn ít nhất một lần trong đời chúng ta bực bội vì bản thân nhớ một đoạn bài hát mà lại không hề nhớ nổi cái tên của nó. Hay khi đang xem phim và vô tình nghe được một đoạn nhạc khá hay trong phim và chúng ta bất lực trước ngàn nghìn kết quả được tìm thấy trên Google.... Điều đó bây giờ là không còn đáng quan tâm nữa, bởi vì giờ ta chúng ta đã có phần mềm #Shazam phiên bản tiếng Việt Nam được chuyển ngữ bởi tubotocdo (Không có quảng cáo trong phần mềm)

KHÁM PHÁ NHẠC

• Xác định tên bài hát bằng một lần nhấn
• Hát theo những bài hát có lời nhạc hoặc xem video của họ
• Xem trước các bài hát và thêm chúng vào danh sách nhạc Spotify **
• Shazam Offline: Xác định tên bài hát ngay cả khi bạn không kết nối! *
• Kiểm tra các bản nhạc được đề xuất để tìm nhạc mới
• Ở trong vòng lặp với các biểu đồ thời gian thực của Shazam,
• Chỉ cần đăng nhập để đồng bộ hóa tất cả các Shazam của bạn trên tất cả các thiết bị
• Liên kết nhanh đến #Apple_Music

KẾT NỐI & CHIA SẺ

• Xem những gì bạn bè của bạn Shazaming khi bạn kết nối tài khoản #Facebook của bạn
• Chia sẻ những khám phá của bạn thông qua #Facebook, #Twitter, #WhatsApp, #Pinterest và nhiều hơn nữa

HƠN THẾ NỮA

• Nhận dạng hình ảnh #Shazam: Chạm vào biểu tượng máy ảnh và đưa Camera vào áp phích, tạp chí, sách và nhiều hơn nữa! Sử dụng nó bất cứ nơi nào bạn thấy logo máy ảnh #Shazam
• Khởi chạy Shazam trên đồng hồ thông minh Android Wear của bạn để xem nghệ sĩ và bài hát xuất hiện.

THÔNG TIN MOD
Phiên bản: v9.41.0
Được cung cấp bởi: Apple, Inc
Việt hóa bởi tubotocdo
Dung lượng: 10Mb

Tải về: https://drive.google.com/file/d/1-Fn-J8oQwpnzGQqdd1ksISiigTdXlBIl/view

#j2team_share
Trong cuộc sống này, chắc hẳn ít nhất một lần trong đời chúng ta bực bội vì bản thân nhớ một đoạn bài hát mà lại không hề nhớ nổi cái tên của nó. Hay khi đang xem phim và vô tình nghe được một đoạn nhạc khá hay trong phim và chúng ta bất lực trước ngàn nghìn kết quả được tìm thấy trên Google.... Điều đó bây giờ là không còn đáng quan tâm nữa, bởi vì giờ ta chúng ta đã có phần mềm #Shazam phiên bản tiếng Việt Nam được chuyển ngữ bởi tubotocdo (Không có quảng cáo trong phần mềm)

KHÁM PHÁ NHẠC

• Xác định tên bài hát bằng một lần nhấn
• Hát theo những bài hát có lời nhạc hoặc xem video của họ
• Xem trước các bài hát và thêm chúng vào danh sách nhạc Spotify **
• Shazam Offline: Xác định tên bài hát ngay cả khi bạn không kết nối! *
• Kiểm tra các bản nhạc được đề xuất để tìm nhạc mới
• Ở trong vòng lặp với các biểu đồ thời gian thực của Shazam,
• Chỉ cần đăng nhập để đồng bộ hóa tất cả các Shazam của bạn trên tất cả các thiết bị
• Liên kết nhanh đến #Apple_Music

KẾT NỐI & CHIA SẺ

• Xem những gì bạn bè của bạn Shazaming khi bạn kết nối tài khoản #Facebook của bạn
• Chia sẻ những khám phá của bạn thông qua #Facebook, #Twitter, #WhatsApp, #Pinterest và nhiều hơn nữa

HƠN THẾ NỮA

• Nhận dạng hình ảnh #Shazam: Chạm vào biểu tượng máy ảnh và đưa Camera vào áp phích, tạp chí, sách và nhiều hơn nữa! Sử dụng nó bất cứ nơi nào bạn thấy logo máy ảnh #Shazam
• Khởi chạy Shazam trên đồng hồ thông minh Android Wear của bạn để xem nghệ sĩ và bài hát xuất hiện.

THÔNG TIN MOD
Phiên bản: v9.41.0
Được cung cấp bởi: Apple, Inc
Việt hóa bởi tubotocdo
Dung lượng: 10Mb

Tải về: https://drive.google.com/file/d/1-Fn-J8oQwpnzGQqdd1ksISiigTdXlBIl/view

#Facebook công bố tiền ảo Libra

Mọi người nghĩ gì về thông tin này ạ.

#j2team_news

Video Source: Kênh VTV1HD - Đài truyền hình Việt Nam.

#Facebook cập nhật icon mới và quan trọng tính năng xem trang cá nhân với tư cách khác (View As) đã quay lại.

P/s: Liệu lỗ hổng View As có tiếp tục bị khai thác không ạ

#j2team_discussion
#j2team_question

#j2team_discuss #facebook #secretcrush #man
Trích dẫn mail của một youtuber VN gửi về inbox của mình, mọi người cùng đọc và thảo luận nhé.
----------------------------------------------------------------------------------
Facebook vừa ra mắt tính năng hẹn hò mới. Nếu bạn vẫn chưa nghe đến nó thì về cơ bản, Facebook cho phép bạn bí mật Crush 1 người và nếu người đó cũng Crush bạn thì 2 người sẽ được thông báo. Bạn có thể liên hệ với họ nếu muốn.

Nghe có vẻ...tuyệt vời đúng không? Well, tôi thì không thấy vậy. Tôi chỉ thấy việc ra mắt những tính năng hẹn hò trực tuyến sẽ khiến thế hệ đàn ông càng lúc càng bớt nam tính hơn.

Để tôi giải thích.

Năm thứ 2 đại học tôi thất tình. Tất nhiên là tôi có buồn, nhưng đến một thời điểm, tôi nhận ra rằng mình cần phải bỏ lại những ký ức đau buồn đó lại đằng sau và tìm cách bước tiếp.

Tôi học Bách Khoa, mà Bách Khoa thì bạn cũng biết rồi đó. Năm tôi học có hơn 3000 sinh viên. Nhưng chỉ 700 trong số đó là nữ. Đen đủi hơn, tôi học ngành xây dựng, cả ngành của tôi chỉ có 2 nữ, 1 cô tính tình hơi hâm, còn 1 cô thì không khác gì đàn ông.

Con gái trong khoá của tôi hầu hết đều tập trung ở các ngành mà nếu tôi học buổi sáng, họ sẽ học buổi chiều, nếu tôi học buổi chiều, họ sẽ học buổi sáng. Nếu thông thường các anh chàng ngại việc phải làm quen ngoài đường với người lạ thì họ có thể làm quen hay tán tỉnh các cô nàng cùng lớp hoặc cùng câu lạc bộ sinh hoạt. Còn đối với tôi, tôi còn chẳng có cơ hội để làm điều đó.

Sống trong một môi trường không có nữ (hoặc thỉnh thoảng cũng có, nhưng mà....), mạng xã hội thời đó chưa phát triển, buộc tôi phải tìm một con đường khác, nếu không tôi sẽ chẳng bao giờ có cơ hội nắm tay ai cho đến hết cái chặng đường sinh viên.

Tôi buộc phải học cách để làm quen với phụ nữ ở bất cứ nơi nào ngoài những vùng an toàn của mình. Quán cafe, nhà sách, thư viện, siêu thị, quán bar....bất cứ khi nào có cơ hội.

Sự đen đủi biến thành may mắn.

Vì bị buộc phải học cách chủ động làm quen với phụ nữ, tôi rèn luyện được sự can đảm. Tôi chủ động nắm bắt mọi cơ hội có thể. Tôi bắt đầu miễn nhiễm với lời từ chối. Tôi học được cách nói thật những gì mình suy nghĩ. Không còn xấu hổ với những lời trêu chọc, những cái nhìn khinh bỉ. Hơn hết thảy, tôi học được cách đứng dậy sau mỗi lần thất bại, mỗi lần mắc sai lầm. Tính cách, sự trưởng thành của tôi được trui rèn từ đó.

Những tính cách đó không chỉ giúp tôi trong việc tán tỉnh phụ nữ, chúng còn giúp tôi trong cả cuộc sống lẫn công việc. Vì không sợ bị từ chối, tôi không nản lòng khi không bán được hàng. Vì dám nói thật suy nghĩ, mọi người tôn trọng ý kiến của tôi. Sự kiên trì giúp tôi đứng dậy mỗi lần thất bại.

Trở lại với tính năng hẹn hò trực tuyến.

Tôi cho rằng những công cụ Hẹn Hò online này chẳng giúp ích gì nhiều cho chuyện tán tỉnh mà chỉ làm thui chột đi sự nam tính của đàn ông.

Chúng cho đàn ông cơ hội để né tránh phải đối mặt với những nỗi sợ - trớ trêu thay, đó là những nỗi sợ giúp họ trưởng thành.

"Nếu sợ phải làm quen phụ nữ, hãy lập 1 tài khoản và ngồi cầu mong người bạn thích sẽ thích lại bạn".

"Nếu kém khoản nói chuyện, hãy dùng tính năng Messenger và ung dung ngồi sau bàn phím để nói những gì bạn muốn"

"Nếu sợ bị từ chối, chỉ cần 1 cái quẹt tay là bạn đã có ngay sự lựa chọn khác"

Nhưng né tránh vấn đề không bao giờ làm vấn đề biến mất.

Những anh chàng nhát gái vẫn cứ nhát gái dù anh ta có "kết bạn" với bao nhiêu cô nàng đi nữa.

Những anh chàng kém giao tiếp vẫn cứ kém giao tiếp dù anh ta có "chat" với bao nhiêu người đi nữa.

Những anh chàng né tránh lời từ chối chỉ khiến cái tôi của anh ta càng mong manh và yếu đuối.

Cuối cùng, nơi mà những mối quan hệ thật sự diễn ra, đó là những buổi gặp mặt, những cái nhìn thân ái, những chia sẻ tâm tình đầy cảm xúc...lại chẳng bao giờ diễn ra.

Thay vào đó, một xã hội mới với những anh chàng luôn tìm cách né tránh sự căng thẳng, chạy trốn sợ hãi và nhút nhát với những cảm xúc của mình.

Nếu bạn liên tục trốn tránh, nó sẽ trở thành thói quen.

Thói quen sẽ trở thành tính cách.

Và tính cách sẽ quyết định vận mệnh.

Bạn có thấy kỳ lạ không khi chúng ta có một thế hệ trẻ không hề thiếu bất cứ một công cụ "giao tiếp" nào nhưng chưa bao giờ trong lịch sử, chúng ta lại có 1 xã hội nhiều người cô đơn đến thế.

Có người yêu?

Tuyệt đấy.

Nhưng trưởng thành thành 1 con người khác còn tuyệt hơn nhiều.

Sáng ngủ dậy xem tin tức và thấy tin này, lướt twitter lại gặp thêm quả tin 540 triệu tài khoản #Facebook không được mã hóa qua server Amazon

#j2team_news
#j2team_share

Source: VTV1 // The Hacker News

#j2team_question
#j2team_discussion

Trong nhóm có ai đang sử dụng app #Facebook Beta và truy cập được vào list tính năng Beta không ạ..

Em sử dụng Terminal Emulator for Android ạ.