Nieudane próby logowania na Facebooku ujawniają prywatne informacje

• Kategoria: Facebook

Wypróbuj Nasz Instrument Do Eliminowania Problemów

Wybierz System Operacyjny Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Wybierz Program Projekcji (Opcjonalnie) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Opisz Swój Problem

Dostać Odpowiedź

Wyślij Mi E -Mail Pokaż Na Stronie

Wydaje się, że Facebook nie odpoczywa w dzisiejszych czasach, jeśli chodzi o prywatność. W środę badacz Atul Agarwal odkrył nowy błąd, który pozwolił każdemu dopasować adres e-mail do nazwy i zdjęcia profilowego użytkownika na Facebooku.

Facebook zaprojektował proces logowania, aby zapewnić dodatkowe informacje użytkownikowi, jeśli kombinacja adresu e-mail i hasła użytego do logowania się nie zgadzają.

Zamiast wyświetlać ostrzeżenie, że dane logowania są nieprawidłowe, Facebook poszedł o krok dalej i wyświetlił na stronie informację „Zaloguj się jako”. Obejmuje to zdjęcie profilowe użytkownika i imię i nazwisko, niezależnie od ustawień prywatności tego użytkownika na Facebooku.

Atul szczegółowo opisał problem Seclists :

Jakiś czas temu zauważyłem dziwny problem z Facebookiem, przypadkowo wpisałem złe hasło na Facebooku i pokazało moje imię i nazwisko ze zdjęciem profilowym wraz z komunikatem o nieprawidłowym haśle. Pomyślałem, że fakt, że wyświetla się nazwa, ma coś wspólnego z przechowywanymi plikami cookie, więc wypróbowałem inne identyfikatory e-mail i było tak samo. Zastanawiałem się nad możliwościami i napisałem narzędzie POC, aby je przetestować.

Ten skrypt wyodrębnia imię i nazwisko (podane przez użytkowników podczas rejestracji na Facebooku). Facebook jest na tyle uprzejmy, że zwraca nazwę, nawet jeśli podana kombinacja adresu e-mail / hasła jest nieprawidłowa. Co więcej, to też
podaje zdjęcie profilowe (ten skrypt nie zbiera go, ale łatwo też to dodać). Użytkownicy Facebooka nie mają nad tym żadnej kontroli, ponieważ działa to nawet po prawidłowym skonfigurowaniu wszystkich ustawień prywatności. Zbieranie tych danych jest bardzo łatwe, ponieważ można je łatwo ominąć, używając kilku serwerów proxy.

Problem został rozwiązany w rekordowym czasie przez Facebooka. To jednak oznacza, że
problem prywatności był możliwy do wykorzystania przez wszystkich, w tym użytkowników bez konta na Facebooku, do czasu zastosowania poprawki.

Mówiąc prostym językiem, każdy, kto odkrył problem, mógł połączyć adresy e-mail z prawdziwymi nazwiskami i zdjęciami profilowymi na Facebooku, nawet bez konta.

Dedykowani napastnicy mogli wykorzystać automatyzację do masowego wydobywania informacji z Facebooka.

Kod proof of concept, który napisał Atul, pokazał, że szkodliwi użytkownicy mogli wykorzystać ten problem do stworzenia ogromnej bazy danych połączonych adresów e-mail i pełnych nazwisk, co może mieć katastrofalne skutki, jeśli zostanie użyte w kampaniach phishingowych lub innych złośliwych zastosowaniach.