Facebook neuspeli poskusi razkritja zasebnih podatkov

• Kategorija: Facebook

Preizkusite Naš Instrument Za Odpravo Težav

Izberite Operacijski Sistem Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Izberite Program Projekcije (Neobvezno) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Opišite Svoj Problem

Pridobite Odgovor

Pošljite Me Po E -Pošti Pokaži Na Spletnem Mestu

Videti je, da Facebook danes ne gre počivati, ko gre za zasebnost. Novega hrošča je v sredo odkril raziskovalec Atul Agarwal, ki je dovolil, da se je kdo nasprotoval e-poštnemu naslovu z imenom in sliko profila Facebooka.

Facebook je oblikoval postopek prijave, da bi uporabniku zagotovil dodatne informacije, če se kombinacija e-pošte in gesla, ki se uporablja za prijavo, ne ujemata.

Namesto da bi samo prikazal opozorilo, da podatki za prijavo niso pravilni, je Facebook šel še korak dlje in na strani prikazal podatke »Prijava kot«. To vključuje fotografijo in polno ime uporabnika, ne glede na nastavitve zasebnosti tega uporabnika na Facebooku.

Atul je podrobno opisal težavo Sekretarji :

Nekaj ​​časa nazaj sem opazil nenavadno težavo s Facebookom, naključno sem vnesel napačno geslo v Facebook in na njem je bilo prikazano moje ime in priimek s sliko profila, skupaj s sporočilom o napačnem geslu. Mislil sem, da je dejstvo, da prikazuje ime, povezano z shranjenimi piškotki, zato sem preizkusil druge e-poštne številke, in bilo je enako. Spraševal sem se nad možnostmi in napisal orodje POC, da ga preizkusim.

Ta skript izvleče ime in priimek (ki ga uporabniki priskrbijo ob prijavi na Facebook). Facebook je dovolj prijazen, da vrne ime, tudi če je priložena kombinacija e-pošte / gesla napačna. Nadalje pa tudi
daje profilno sliko (ta scenarij je ne žanje, vendar je tudi to enostavno dodati). Uporabniki Facebooka nad tem nimajo nadzora, saj to deluje tudi, če ste pravilno nastavili vse nastavitve zasebnosti. Nabiranje teh podatkov je zelo enostavno, saj jih je mogoče preprosto zaobiti z uporabo kopice pooblaščencev.

Vprašanje je Facebook popravil v rekordnem času. Vendar to vseeno pomeni
težavo z zasebnostjo so do uporabe popravka izkoristili vsi, tudi uporabniki brez Facebookovega računa.

V navadni angleščini je lahko vsak, ki je odkril težavo, e-poštne naslove povezal s pravimi imeni in profilnimi fotografijami na Facebooku, tudi brez računa.

Namenjeni napadalci so morda uporabili avtomatizacijo za črpanje informacij v velikem obsegu iz Facebooka.

Dokazilo o konceptu kode, ki ga je napisal Atul, je pokazalo, da so zlonamerni uporabniki to težavo lahko izkoristili in ustvarili ogromno bazo povezanih povezanih e-poštnih naslovov in polnih imen, kar bi lahko bilo katastrofalno, če bi jih uporabili v phishing kampanji ali drugi zlonamerni uporabi.