Неуспешно влизане във Facebook Опитите за разкриване на частна информация

• Категория: Facebook

Опитайте Нашия Инструмент За Премахване На Проблемите

Изберете Операционната Система Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Изберете Програма За Проекция (По Желание) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Опишете Проблема Си

Вземете Отговор

Изпратете Ме По Имейл Показване На Сайта

Facebook изглежда не почива в наши дни, когато става въпрос за поверителност. Нова грешка бе открита в сряда от изследователя Атул Агарвал, която позволи на всеки да съвпадне имейл адрес с името и снимката на потребителския профил на Facebook.

Facebook е проектирал процеса на влизане, за да предостави допълнителна информация на потребителя, ако комбинацията имейл и парола, използвана за влизане, не съвпадат.

Вместо само да покаже предупреждение, че информацията за вход не е правилна, Facebook отиде една стъпка по-напред и на страницата изведе информация за „Вход като“. Това включва снимката на потребителския профил и пълното име на потребителя, независимо от настройките за поверителност на този потребител във Facebook.

Atul описа подробно проблема Seclists :

Някъде назад забелязах странен проблем с Facebook, случайно бях въвел грешна парола във Facebook и той показваше моето име и фамилия със снимка на профила, заедно с неправилното съобщение за паролата. Мислех, че фактът, че показва името, има нещо общо с съхраняваните бисквитки, така че опитах други имейл идентификатори и беше същото. Чудех се за възможностите и написах POC инструмент, за да го тествам.

Този скрипт извлича името и фамилията (предоставени от потребителите, когато се регистрират във Facebook). Facebook е достатъчно любезен, за да върне името, дори ако предоставената комбинация от имейл / парола е грешна. Още повече, че също
издава снимката на профила (този скрипт не го събира, но е лесно да добавите и това). Потребителите на Facebook нямат контрол върху това, тъй като това работи дори когато сте задали правилно всички настройки за поверителност. Събирането на тези данни е много лесно, тъй като може да бъде лесно заобиколено с помощта на куп прокси.

Въпросът е решен в рекордно кратко време от Facebook. Това обаче означава това
проблемът с поверителността беше използван от всички, включително от потребители без акаунт във Facebook, докато коригирането не беше приложено.

На обикновен английски език всеки, който откри проблема, успя да свърже имейл адреси с истински имена и снимки на профили във Facebook, дори без акаунт.

Специализираните нападатели може да са използвали автоматизация за извличане на информация в насипно състояние от Facebook.

Доказателството за концептуалния код, написано от Atul, показа, че злонамерените потребители биха могли да използват проблема, за да създадат огромна база данни от свързани имейл адреси и пълни имена, което може да бъде катастрофално, ако се използва във фишинг кампании или друга злонамерена употреба.