Nepodarilo sa prihlásiť Facebook Pokusy odhaliť súkromné ​​informácie

Vyskúšajte Náš Nástroj Na Odstránenie Problémov

Nezdá sa, že by Facebook v týchto dňoch odpočíval, pokiaľ ide o súkromie. Nová chyba bola objavená v stredu výskumníkom Atul Agarwal, ktorý dovolil komukoľvek priradiť e-mailovú adresu k užívateľskému menu Facebooku a profilovému obrázku.

Facebook navrhol proces prihlásenia, aby poskytol používateľovi ďalšie informácie, ak sa kombinácia e-mailu a hesla použitá na prihlásenie nezhoduje.

Namiesto toho, aby sa iba zobrazovalo upozornenie, že prihlasovacie informácie neboli správne, Facebook šiel o krok ďalej a na stránke zobrazil informácie „Prihlásiť sa ako“. To zahŕňalo profilovú fotografiu používateľa a celé meno bez ohľadu na nastavenia ochrany osobných údajov tohto používateľa na Facebooku.

Atul podrobne opísal problém Seclists :

Niekedy som si všimol zvláštny problém s Facebookom, omylom som do Facebooku zadal nesprávne heslo a ukázalo sa moje meno a priezvisko s profilovým obrázkom spolu s nesprávnou správou hesla. Myslel som si, že skutočnosť, že zobrazuje meno, má niečo spoločné s uloženými súbormi cookie, takže som vyskúšal ďalšie e-mailové identifikátory a bolo to rovnaké. Premýšľal som nad možnosťami a napísal som nástroj POC, ktorý ho otestoval.

Tento skript extrahuje meno a priezvisko (poskytnuté používateľmi pri registrácii na Facebook). Facebook je taký láskavý, aby vrátil meno, aj keď je dodávaná kombinácia e-mailu a hesla nesprávna. Ďalej, tiež
rozdáva profilový obrázok (tento skript ho nezíska, ale je ľahké ho tiež pridať). Používatelia Facebooku nad tým nemajú kontrolu, pretože to funguje, aj keď ste správne nastavili všetky nastavenia ochrany osobných údajov. Zber týchto údajov je veľmi jednoduchý, pretože sa dá ľahko obísť pomocou hromady proxy serverov.

facebook login privacy
facebook prihlasovacie súkromie

Tento problém bol opravený v rekordnom čase Facebookom. To však znamená
problém ochrany osobných údajov bol zneužiteľný pre všetkých vrátane používateľov bez účtu Facebook, kým sa oprava neuskutočnila.

V obyčajnej angličtine bol každý, kto objavil tento problém, schopný prepojiť e-mailové adresy so skutočnými menami a profilovými fotografiami na Facebooku, a to aj bez účtu.

Vyhradení útočníci mohli použiť automatizáciu na získanie informácií hromadne z Facebooku.

Dôkaz konceptu kódu, ktorý napísal Atul, ukázal, že škodliví používatelia mohli problém využiť na vytvorenie obrovskej databázy prepojených e-mailových adries a úplných mien, čo by mohlo byť katastrofálne, ak by sa použilo v phishingových kampaniach alebo inom škodlivom použití.