Neizdevās Facebook pieteikšanās mēģinājumi atklāt privātu informāciju

• Kategorija: Facebook

Izmēģiniet Mūsu Instrumentu Problēmu Novēršanai

Atlasiet Operētājsistēmu Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Izvēlieties Projekcijas Programmu (Pēc Izvēles) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Aprakstiet Savu Problēmu

Saņemt Atbildi

Atsūti Mani Pa E -Pastu Rādīt Vietnē

Šķiet, ka Facebook šajās dienās nenāk miera stāvoklī, kad runa ir par privātumu. Trešdien pētnieks Atuls Agarvals atklāja jaunu kļūdu, kas ļāva ikvienam saskaņot e-pasta adresi ar Facebook lietotāja vārdu un profila attēlu.

Facebook ir izveidojis pieteikšanās procesu, lai sniegtu lietotājam papildu informāciju, ja pieteikšanās e-pasta un paroles kombinācija nesakrīt.

Tā vietā, lai tikai parādītu brīdinājumu, ka pieteikšanās informācija nav pareiza, Facebook devās vēl vienu soli tālāk un lapā parādīja informāciju “Pieteikšanās kā”. Tas ietvēra lietotāja profila fotoattēlu un vārdu un uzvārdu neatkarīgi no šī lietotāja privātuma iestatījumiem Facebook.

Atuls detalizēti aprakstīja problēmu Nozares :

Kaut kad atpakaļ es pamanīju dīvainu problēmu ar Facebook, es nejauši biju ievadījis nepareizu paroli Facebook, un tas parādīja manu vārdu un uzvārdu ar profila attēlu, kā arī paroles nepareizo ziņojumu. Es domāju, ka tas, ka tas rāda vārdu, ir kaut kas saistīts ar glabātajām sīkdatnēm, tāpēc es izmēģināju citus e-pasta ID, un tas pats. Es prātoju par iespējām un uzrakstīju POC rīku, lai to pārbaudītu.

Šis skripts izdala vārdu un uzvārdu (tos nodrošina lietotāji, kad viņi reģistrējas Facebook). Facebook ir laipns, lai atgrieztu vārdu, pat ja piegādātā e-pasta / paroles kombinācija ir nepareiza. Vēl vairāk, tas arī
tiek parādīts profila attēls (šis skripts to nenovāc, bet arī to ir viegli pievienot). Facebook lietotāji to nevar kontrolēt, jo tas darbojas pat tad, ja esat pareizi iestatījis visus privātuma iestatījumus. Šo datu iegūšana ir ļoti vienkārša, jo to var viegli apiet, izmantojot virkni tuvinājumu.

Jautājumu rekordlielā laikā ir novērsis Facebook. Tomēr tas to nozīmē
konfidencialitātes problēmu varēja izmantot visi, ieskaitot lietotājus bez Facebook konta, līdz labojums bija piemērots.

Vienkāršā angļu valodā ikviens, kurš atklāja problēmu, pat bez konta varēja sasaistīt e-pasta adreses ar īstajiem vārdiem un profila fotoattēliem Facebook.

Iespējams, ka speciāli uzbrucēji ir izmantojuši automatizāciju, lai lielapjoma informāciju iegūtu no Facebook.

Koncepcijas koda pierādījums, ko rakstīja Atuls, parādīja, ka ļaunprātīgi lietotāji varēja izmantot šo problēmu, lai izveidotu milzīgu saistīto e-pasta adrešu un vārdu un uzvārdu datu bāzi, kas var būt postoša, ja to izmanto pikšķerēšanas kampaņās vai citos ļaunprātīgos nolūkos.