Nepavyko prisijungti prie „Facebook“ bandymų atskleisti asmeninę informaciją

• Kategorija: Facebook

Išbandykite Mūsų Instrumentą, Kaip Pašalinti Problemas

Pasirinkite Operacinę Sistemą Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Pasirinkite Projekcijos Programą (Pasirinktinai) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Apibūdinkite Savo Problemą

Gaukite Atsakymą

Atsiųskite Man El. Paštu Rodyti Svetainėje

Panašu, kad „Facebook“ šiomis dienomis ramybės nejaučia. Trečiadienį tyrinėtojas Atulis Agarvalis aptiko naują klaidą, leidusią bet kam susieti el. Pašto adresą su „Facebook“ vartotojo vardu ir profilio nuotrauka.

„Facebook“ sukūrė prisijungimo procesą, kad vartotojui būtų teikiama papildoma informacija, jei prisijungimui naudojamas el. Pašto ir slaptažodžio derinys nesutampa.

Užuot tiesiog pateikę įspėjimą, kad prisijungimo informacija nėra teisinga, „Facebook“ žengė dar vieną žingsnį į priekį ir puslapyje rodė informaciją „Prisijungti kaip“. Tai buvo vartotojo profilio nuotrauka ir visas vardas, nepaisant to vartotojo privatumo nustatymų „Facebook“.

Atulis išsamiai aprašė problemą Sektoriai :

Kažkada aš pastebėjau keistą „Facebook“ problemą, netyčia įvedžiau neteisingą slaptažodį „Facebook“ ir jame buvo parodytas mano vardas ir pavardė kartu su profilio nuotrauka, taip pat neteisingas slaptažodžio pranešimas. Aš maniau, kad tai, kad rodomas vardas, turi kažką bendro su saugomais slapukais, todėl išbandžiau kitus el. Pašto adresus, ir tai buvo tas pats. Pasidomėjau galimybėmis ir parašiau POC įrankį, kad galėčiau tai išbandyti.

Šis scenarijus ištraukia vardą ir pavardę (kuriuos pateikia vartotojai prisijungę prie „Facebook“). „Facebook“ yra malonus grąžinti vardą, net jei pateiktas el. Pašto ir slaptažodžio derinys yra neteisingas. Be to, taip pat
pateikia profilio nuotrauką (šis scenarijus jos nenuima, tačiau ją taip pat lengva pridėti). „Facebook“ vartotojai to nekontroliuoja, nes tai veikia net tada, kai tinkamai nustatėte visus privatumo parametrus. Šiuos duomenis yra labai lengva surinkti, nes juos galima lengvai apeiti naudojant įgaliotųjų serverių krūvą.

Problemą per rekordiškai trumpą laiką ištaisė „Facebook“. Tačiau tai reiškia
privatumo problema galėjo naudotis visi, įskaitant vartotojus, neturinčius „Facebook“ paskyros, kol pataisymas nebuvo pritaikytas.

Kalbant paprastai angliškai, kiekvienas, atradęs problemą, galėjo susieti el. Pašto adresus su tikraisiais vardais ir profilio nuotraukomis „Facebook“, net neturėdamas paskyros.

Dedikuoti užpuolikai galėjo naudoti automatiką, norėdami iš „Facebook“ išgauti didelę informaciją.

Koncepcijos kodo įrodymas, kurį parašė „Atul“, parodė, kad kenkėjiški vartotojai galėjo išnaudoti šią problemą, kad sukurtų didžiulę susietų el. Pašto adresų ir pavardžių duomenų bazę, kuri gali būti pražūtinga, jei ji naudojama sukčiavimo kampanijose ar kitu kenkėjišku tikslu.