Nije uspio Facebook prijava pokušaja otkrivanja privatnih podataka

Isprobajte Naš Instrument Za Uklanjanje Problema

Izgleda da se Facebook ovih dana ne odmara kada je u pitanju privatnost. Novu je bugu u srijedu otkrio istraživač Atul Agarwal, što je omogućilo bilo kome da uskladi adresu e-pošte s imenom i profilom korisnika Facebooka.

Facebook je osmislio postupak prijave kako bi korisniku pružio dodatne informacije ako kombinacija e-pošte i lozinke koja se koristi za prijavu ne podudaraju.

Umjesto da samo prikazuje upozorenje da podaci za prijavu nisu točni, Facebook je otišao korak dalje i na stranici prikazao informacije 'Prijava kao'. Ovo uključuje fotografiju i puno ime korisnika bez obzira na postavke privatnosti tog korisnika na Facebooku.

Atul je problem detaljno opisao dalje Seclists :

Negdje sam primjetio neobičan problem s Facebookom, slučajno sam unio pogrešnu lozinku u Facebook, i na njemu je bilo moje ime i prezime sa slikom profila, zajedno s pogrešnom porukom zaporke. Mislila sam da činjenica da prikazuje ime ima veze sa pohranjenim kolačićima, pa sam pokušao s drugim ID-ovima e-pošte i to je bilo isto. Pitao sam se o mogućnostima i napisao POC alat kako bih ga testirao.

Ovom skriptu izdvaja se ime i prezime (daju ih korisnici prilikom prijave na Facebook). Facebook je dovoljno ljubazan da vrati ime, čak i ako isporučena kombinacija e-pošte / zaporke nije u redu. Nadalje, također
daje sliku profila (ovaj scenarij ga ne skuplja, ali lako je i dodati). Korisnici Facebooka nemaju kontrolu nad tim, jer to funkcionira čak i kada ste pravilno postavili sve postavke privatnosti. Skupljanje ovih podataka vrlo je jednostavno, jer se lako može zaobići pomoću gomile proxyja.

facebook login privacy
privatnost za prijavu na facebook

Izdanje je Facebook utvrdio u rekordnom roku. To, međutim, to znači
problem privatnosti iskoristili su svi, uključujući korisnike bez Facebook računa, sve dok se ispravak nije primijenio.

Običnim engleskim jezikom svatko tko je otkrio problem mogao je povezati adrese e-pošte s pravim imenima i profilnim fotografijama na Facebooku, čak i bez računa.

Posvećeni napadači možda su koristili automatizaciju za izvlačenje podataka skupno s Facebooka.

Dokaz koda koncepta koji je napisao Atul pokazao je da su zlonamjerni korisnici mogli iskoristiti problem kako bi stvorili ogromnu bazu povezanih povezanih adresa e-pošte i punih imena, što bi moglo biti pogubno ako se koristi u phishing kampanjama ili drugoj zlonamjernoj upotrebi.