Gigantul rețelelor de socializare încă se simte deștept când a aruncat numerele de telefon pentru 500 de milioane de utilizatori Facebook luna trecută și se confruntă cu o nouă criză de confidențialitate de care trebuie să facă față: un instrument care leagă în general conturile Facebook legate de adrese de e-mail, chiar și atunci când utilizatorii aleg setări pentru a le împiedica Să fii public.
Un videoclip care circula marți a arătat un cercetător care prezenta un instrument numit Facebook Email Search v1.0, despre care a spus că ar putea conecta conturile Facebook la până la 5 milioane de adrese de e-mail pe zi. Cercetătorul – care a spus că a devenit public după ce Facebook a spus că nu crede că vulnerabilitatea pe care a găsit-o este suficient de „importantă” pentru a o remedia – a furnizat instrumentului o listă de 65.000 de adrese de e-mail și a monitorizat ce s-a întâmplat în continuare.
„După cum puteți vedea din jurnalul de ieșire de aici, obțin o mulțime de rezultate din acesta”, a spus cercetătorul în timp ce videoclipul arăta instrumentul care prăbușea lista de titluri. „Am cheltuit poate 10 USD cumpărând 200 de conturi individuale de Facebook. În trei minute, am reușit să fac asta pentru 6000 [email] Conturi. „
Ars a primit videoclipul cu condiția ca videoclipul să nu fie distribuit. O transcriere audio completă apare la sfârșitul acestei postări.
Aruncă mingea
Într-o declarație, Facebook a spus: „Se pare că am închis din greșeală acest raport de recompensare a erorilor înainte de a-l direcționa către echipa corespunzătoare. Apreciem schimbul de informații al cercetătorului și luăm măsuri inițiale pentru a atenua această problemă în timp ce urmărim pentru a înțelege mai bine descoperirile.”
Un reprezentant de pe Facebook nu a răspuns la o întrebare care a întrebat dacă compania i-a spus cercetătorului că nu consideră vulnerabilitatea suficient de importantă pentru a justifica o soluție. Actorul a spus că inginerii Facebook au crezut că au atenuat scurgerea prin perturbarea tehnologiei prezentate în videoclip.
Cercetătorul, a cărui identitate Ars a fost de acord să rămână anonimă, a declarat că Facebook Email Search a exploatat un defect de securitate pe front, despre care Facebook a raportat recent, dar că ” [Facebook] Nu considerați că este suficient de important pentru a fi corectat. La începutul acestui an, Facebook avea o vulnerabilitate similară care a fost în cele din urmă remediată.
„Aceasta este exact aceeași slăbiciune”, spune cercetătorul. „Și, dintr-un anumit motiv, chiar dacă am făcut acest lucru clar pentru Facebook și i-am sensibilizat la asta, mi-au spus direct că nu vor lua nicio măsură împotriva acestuia”.
Pe Twitter
Facebook a fost criticat nu numai pentru că oferă mijloacele pentru aceste colecții uriașe de date, ci și pentru modul în care încearcă activ să promoveze ideea că provoacă un prejudiciu minim utilizatorilor Facebook. Un e-mail pe care Facebook l-a trimis din greșeală unui reporter din postarea olandeză Știri de date El i-a instruit pe practicienii PR să „încadreze acest lucru ca pe o problemă pe scară largă a industriei și să normalizeze faptul că această activitate are loc în mod regulat”. Facebook face, de asemenea, distincție între răzuire și hacking sau hacking.
Nu este clar dacă cineva a profitat efectiv de acest bug pentru a construi o bază de date masivă, dar acest lucru cu siguranță nu ar trebui să fie surprinzător. „Cred că aceasta este o slăbiciune foarte gravă și aș vrea să ajut la prevenirea acesteia”, a spus cercetătorul.
Aceasta este transcrierea videoclipului:
Deci, ceea ce aș dori să explic aici este o vulnerabilitate de securitate activă în interiorul Facebook, care permite utilizatorilor rău intenționați să interogheze adresele de e-mail din Facebook și să returneze Facebook și utilizatorii care se potrivesc.
Um, asta funcționează cu un defect de securitate în front-end cu Facebook, despre care i-am informat și i-am făcut să-și dea seama, um, că nu sunt considerați suficient de importanți pentru a fi corectați, uh, ceea ce aș considera absolut categoric, uh , o încălcare a confidențialității și o mare problemă.
Această metodă este utilizată în prezent de software, care este disponibil în prezent în comunitatea de hacking.
În prezent, este folosit pentru a sparge conturile Facebook cu scopul de a prelua grupurile de pagini și, uh, conturile publicitare Facebook pentru câștiguri financiare clare. Hmmm, am făcut acest exemplu vizual fără JS.
Ceea ce am făcut aici este că am luat, uh, 250 de conturi Facebook, conturi Facebook nou înregistrate, pe care le-am cumpărat online pentru aproximativ 10 USD.
Am întrebat sau am întrebat despre 65.000 de adrese de e-mail. Și, după cum puteți vedea din jurnalul de ieșire de aici, obțin destul de multe rezultate de la ei.
Dacă vă uitați la fișierul de ieșire, puteți vedea că am un nume de utilizator și o adresă de e-mail care se potrivesc cu adresele de e-mail introduse, pe care le-am folosit. Acum, așa cum am spus, probabil am cheltuit 10 USD folosind două pentru a cumpăra 200 de conturi individuale de Facebook. Și în termen de trei minute, am reușit să fac asta pentru 6000 de conturi.
Am testat acest lucru la o scară mai mare și este posibil să îl folosesc pentru a extrage până la 5 milioane de adrese de e-mail pe zi.
Acum a existat o gaură de securitate cu Facebook, la începutul acestui an, care a fost corectată. Aceasta este practic aceeași slăbiciune. Și, dintr-un anumit motiv, chiar dacă am făcut acest lucru clar pentru Facebook și i-am sensibilizat la asta, mi-au spus direct că nu vor lua nicio măsură împotriva acestuia.
Așa că mă adresez oamenilor ca tine în speranța că vă puteți folosi influența sau conexiunile pentru a opri acest lucru, pentru că sunt foarte, foarte încrezător.
Nu numai că este o încălcare majoră a confidențialității, dar va avea ca rezultat o nouă depozitare masivă de date, inclusiv e-mailuri, care va permite părților nedorite să obțină nu numai că acest e-mail se potrivește cu un ID de utilizator, ci și să adauge adresa de e-mail la numerele de telefon. ., Care a fost disponibil în încălcări anterioare, sunt foarte fericit să dovedesc vulnerabilitatea front-end, astfel încât să puteți vedea cum funcționează acest lucru.
Nu o voi arăta în acest videoclip doar pentru că nu vreau ca videoclipul să fie așa, nu vreau ca metoda să fie exploatată, dar dacă voi fi foarte fericit, să o demonstrez , um, dacă este necesar, dar după cum puteți vedea, puteți vedea continuând să scoateți din ce în ce mai mult. Cred că este o slăbiciune foarte gravă și aș vrea să ajut la oprirea acestui lucru.
„Iubitor tipic de twitter. Muzicholic pe tot parcursul vieții. Fanatic al culturii pop. Prieten al animalelor de pretutindeni. Evanghelist avid de bere. Jucător certificat.”