Αποτυχημένες προσπάθειες σύνδεσης στο Facebook Αποκαλύψτε ιδιωτικές πληροφορίες

• Κατηγορία: Facebook

Δοκιμάστε Το Όργανο Μας Για Την Εξάλειψη Των Προβλημάτων

Επιλέξτε Το Λειτουργικό Σύστημα Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Επιλέξτε Ένα Πρόγραμμα Προβολής (Προαιρετικά) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Περιγράψτε Το Πρόβλημά Σας

Λάβετε Μια Απάντηση

Στείλτε Μου Μέσω Email Εμφάνιση Στον Ιστότοπο

Το Facebook δεν φαίνεται να ξεκουράζεται αυτές τις μέρες όσον αφορά το απόρρητο. Ένα νέο σφάλμα ανακαλύφθηκε την Τετάρτη από τον ερευνητή Atul Agarwal, ο οποίος επέτρεψε σε οποιονδήποτε να αντιστοιχίσει μια διεύθυνση email με το όνομα χρήστη και την εικόνα προφίλ του Facebook.

Το Facebook έχει σχεδιάσει τη διαδικασία σύνδεσης για να παρέχει πρόσθετες πληροφορίες στον χρήστη εάν ο συνδυασμός email και κωδικού πρόσβασης που χρησιμοποιείται για τη σύνδεση δεν ταιριάζει.

Αντί να εμφανίζει απλώς μια προειδοποίηση ότι οι πληροφορίες σύνδεσης δεν ήταν σωστές, το Facebook πήγε ένα βήμα παραπέρα και εμφάνισε τις πληροφορίες «Σύνδεση ως» στη σελίδα. Αυτό περιελάμβανε τη φωτογραφία προφίλ του χρήστη και το πλήρες όνομα ανεξάρτητα από τις ρυθμίσεις απορρήτου αυτού του χρήστη στο Facebook.

Ο Atul περιέγραψε λεπτομερώς το πρόβλημα Seclists :

Κάποια στιγμή πίσω, παρατήρησα ένα περίεργο πρόβλημα με το Facebook, είχα κατά λάθος εισαγάγει λάθος κωδικό πρόσβασης στο Facebook και έδειξε το όνομα και το επώνυμό μου με την εικόνα προφίλ, καθώς και το λάθος μήνυμα με τον κωδικό πρόσβασης. Σκέφτηκα ότι το γεγονός ότι έδειχνε το όνομα είχε σχέση με τα cookie που είχαν αποθηκευτεί, οπότε δοκίμασα άλλα αναγνωριστικά email και ήταν το ίδιο. Αναρωτήθηκα για τις δυνατότητες και έγραψα ένα εργαλείο POC για να το δοκιμάσω.

Αυτό το σενάριο εξάγει το Όνομα και το Επώνυμο (παρέχονται από τους χρήστες κατά την εγγραφή τους στο Facebook). Το Facebook είναι αρκετά ευγενικό για να επιστρέψει το όνομα ακόμα και αν ο παρεχόμενος συνδυασμός email / κωδικού πρόσβασης είναι λάθος. Επιπλέον, επίσης
δίνει τη φωτογραφία προφίλ (αυτό το σενάριο δεν το συλλέγει, αλλά είναι εύκολο να το προσθέσετε και αυτό). Οι χρήστες του Facebook δεν έχουν κανέναν έλεγχο σε αυτό, καθώς αυτό λειτουργεί ακόμη και όταν έχετε ορίσει σωστά όλες τις ρυθμίσεις απορρήτου. Η συλλογή αυτών των δεδομένων είναι πολύ εύκολη, καθώς μπορεί εύκολα να παρακαμφθεί χρησιμοποιώντας μια δέσμη αντιπροσώπων.

Το ζήτημα επιλύθηκε σε χρόνο ρεκόρ από το Facebook. Αυτό όμως σημαίνει ότι
το ζήτημα του απορρήτου ήταν αξιοποιήσιμο από όλους, συμπεριλαμβανομένων των χρηστών χωρίς λογαριασμό Facebook, έως ότου είχε εφαρμοστεί η επιδιόρθωση.

Στα απλά αγγλικά, όποιος ανακάλυψε το ζήτημα ήταν σε θέση να συνδέσει διευθύνσεις email με πραγματικά ονόματα και φωτογραφίες προφίλ στο Facebook, ακόμη και χωρίς λογαριασμό.

Οι αποκλειστικοί εισβολείς μπορεί να έχουν χρησιμοποιήσει αυτοματοποίηση για να εξαγάγουν μαζικά τις πληροφορίες από το Facebook.

Η απόδειξη του κώδικα έννοιας που έγραψε ο Atul έδειξε ότι κακόβουλοι χρήστες θα μπορούσαν να έχουν εκμεταλλευτεί το ζήτημα για να δημιουργήσουν μια τεράστια βάση δεδομένων με συνδεδεμένες διευθύνσεις email και πλήρη ονόματα, τα οποία θα μπορούσαν να είναι καταστροφικά εάν χρησιμοποιηθούν σε καμπάνιες ηλεκτρονικού ψαρέματος ή άλλες κακόβουλες χρήσεις.