Sikertelen Facebook bejelentkezési kísérletek Privát Információk feltárása

• Kategória: Facebook

Próbálja Ki A Műszerünket A Problémák Kiküszöbölésére

Válassza Ki Az Operációs Rendszert Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Válasszon Kivetési Programot (Opcionálisan) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Írja Le A Problémáját

Kap Egy Választ

Küldje El E -Mailben Mutasd Meg Az Oldalon

Úgy tűnik, hogy a Facebook manapság nem nyugszik, amikor az adatvédelemről van szó. Atul Agarwal kutató szerdán fedezte fel egy új hibát, amely lehetővé tette bárki számára, hogy az e-mail címet a Facebook felhasználó nevéhez és profilképéhez illessze.

A Facebook úgy tervezte meg a bejelentkezési folyamatot, hogy további információkat nyújtson a felhasználónak, ha a bejelentkezéshez használt e-mail és jelszó kombináció nem egyezik.

Ahelyett, hogy egy figyelmeztetést jelentett volna meg arról, hogy a bejelentkezési adatok nem helytállóak, a Facebook egy lépéssel tovább ment, és az oldalon megjelenítette a „Bejelentkezés mint” információt. Ez magában foglalta a felhasználó profilfotóját és teljes nevét, függetlenül a felhasználó adatvédelmi beállításaitól a Facebookon.

Atul részletesen ismertette a problémát Seclists :

Valamikor észrevettem egy furcsa problémát a Facebook-on, véletlenül rossz jelszót írtam be a Facebook-ba, és megmutatta a keresztnév és keresztnév profilképét, valamint a jelszóval helytelen üzenetet. Azt hittem, hogy a név megjelenítésének valami köze van a tárolt sütikhez, ezért kipróbáltam más e-mail azonosítókat, és ugyanaz volt. Gondolkodtam a lehetőségeken, és POC-eszközt írtam annak tesztelésére.

Ez a szkript kivonja az utónevet és a vezetéknevet (a felhasználók megadják, amikor feliratkoznak a Facebookra). A Facebook olyan kedves, hogy visszatérjen a névhez, még akkor is, ha a megadott e-mail / jelszó kombináció hibás. Még ennél is
kiadja a profilképet (ez a szkript nem hozza létre, de könnyen hozzá is adható). A Facebook-felhasználók nem tudják ellenőrizni ezt, mivel ez akkor is működik, ha az összes adatvédelmi beállítást megfelelően beállította. Ezeknek az adatoknak a begyűjtése nagyon egyszerű, mivel proxy-k használatával könnyen megkerülhetők.

A kérdést rekordidő alatt javította a Facebook. Ez azonban azt jelenti
az adatvédelmi kérdés mindenki számára kihasználható, beleértve a Facebook-fiókkal nem rendelkező felhasználókat is, amíg a javítást nem alkalmazták.

Egyszerű angol nyelven bárki, aki felfedezte a problémát, e-mail címeket a Facebookon való valós nevekhez és profilfotókhoz is kapcsolhatott, még fiók nélkül is.

Lehetséges, hogy dedikált támadók automatizálással használták az ömlesztett információk kivonását a Facebookból.

Az Atul által írt koncepciók bizonyítéka azt mutatta, hogy a rosszindulatú felhasználók kihasználhatták a kérdést, hogy hatalmas adatbázist hozzanak létre a kapcsolódó e-mail címekről és a teljes nevekről, amely adathalász kampányokban vagy más rosszindulatú felhasználások esetén katasztrofális lehet.