Încercări de autentificare Facebook eșuate Încercați să dezvăluie informații private

• Categorie: Facebook

Încercați Instrumentul Nostru Pentru Eliminarea Problemelor

Selectați Sistemul De Operare Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Alegeți Un Program De Proiecție (Opțional) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Descrie -Ți Problema

Obțineți Un Răspuns

Trimite -Mi Prin E -Mail Afișare Pe Site

Facebook nu pare să se odihnească în aceste zile când vine vorba de confidențialitate. Un nou bug a fost descoperit miercuri de cercetătorul Atul Agarwal, care a permis oricui să potrivească o adresă de e-mail cu numele utilizatorului Facebook și poza de profil.

Facebook a conceput procesul de autentificare pentru a oferi informații suplimentare utilizatorului, dacă combinația de e-mail și parolă folosită pentru a vă autentifica nu se potrivește.

În loc să afișeze doar un avertisment potrivit căruia informațiile de autentificare nu sunt corecte, Facebook a făcut un pas mai departe și a afișat informațiile „Login ca” pe pagină. Aceasta includea fotografia de profil a utilizatorului și numele complet, indiferent de setările de confidențialitate ale utilizatorului pe Facebook.

Atul a descris în detaliu problema Seclists :

Cândva în urmă, am observat o problemă ciudată cu Facebook, am introdus din greșeală o parolă greșită pe Facebook și mi-a arătat numele și prenumele cu poza de profil, împreună cu mesajul incorect cu parola. M-am gândit că faptul că arăta numele avea ceva de-a face cu cookie-urile stocate, așa că am încercat alte ID-uri de e-mail și a fost la fel. M-am întrebat posibilitățile și am scris un instrument POC pentru a-l testa.

Acest script extrage numele și prenumele (furnizate de utilizatori atunci când se înscriu pe Facebook). Facebook este suficient de bun pentru a returna numele, chiar dacă combinația de e-mail / parolă furnizate este greșită. Mai mult, de asemenea
dă imaginea de profil (acest script nu o recoltează, dar este ușor de adăugat și asta). Utilizatorii Facebook nu au control asupra acestui lucru, deoarece acest lucru funcționează chiar și atunci când ați setat corect toate setările de confidențialitate. Recoltarea acestor date este foarte ușoară, deoarece poate fi ușor ocolită folosind o grămadă de proxy.

Problema a fost rezolvată în timp record de Facebook. Cu toate acestea, înseamnă că
problema confidențialității a fost exploatabilă de toată lumea, inclusiv de utilizatorii fără cont de Facebook, până la aplicarea remedierii.

În engleză simplă, oricine a descoperit problema a putut să lege adrese de e-mail la nume reale și fotografii de profil pe Facebook, chiar și fără cont.

Este posibil ca atacatorii dedicați să fi folosit automatizarea pentru a extrage informațiile în vrac de pe Facebook.

Dovada codului de concept pe care Atul a scris-o a arătat că utilizatorii rău intenționati ar fi putut exploata problema pentru a crea o bază de date uriașă de adrese de e-mail și nume complete, care ar putea fi dezastruoase dacă sunt utilizate în campanii de phishing sau alte utilizări rău intenționate.