Epäonnistunut Facebook-kirjautumisyritys paljastaa yksityistietoja

Kokeile Instrumenttia Ongelmien Poistamiseksi

Facebook ei näytä rauhoittuvan nykyään yksityisyyden suhteen. Tutkija Atul Agarwal löysi keskiviikkona uuden virheen, jonka avulla kuka tahansa voi yhdistää sähköpostiosoitteen Facebook-käyttäjänimeen ja profiilikuvaan.

Facebook on suunnitellut kirjautumisprosessin tarjoamaan käyttäjälle lisätietoja, jos kirjautumiseen käytetty sähköposti- ja salasanayhdistelmä eivät täsmää.

Sen sijaan, että näyttäisit vain varoituksen siitä, että sisäänkirjautumistiedot eivät olleet oikeita, Facebook meni askeleen pidemmälle ja näytti sivulla 'Login As' -tiedot. Tämä sisälsi käyttäjän profiilikuvan ja koko nimen käyttäjän käyttäjän yksityisyysasetuksista riippumatta Facebookissa.

Atul kuvaili ongelmaa yksityiskohtaisesti Seclists :

Joskus takaisin, huomasin omituisen ongelman Facebookissa, olin vahingossa syöttänyt väärän salasanan Facebookiin, ja se näytti etu- ja sukunimeni profiilikuvalla sekä väärän salasanan. Ajattelin, että nimen osoittamisella oli jotain tekemistä tallennettujen evästeiden kanssa, joten kokeilin muita sähköpostitunnuksia, ja se oli sama. Mietin mahdollisuuksia ja kirjoitin POC-työkalun sen testaamiseksi.

Tämä skripti purkaa etunimen ja sukunimen (antavat käyttäjät kirjautuessaan Facebookiin). Facebook on ystävällinen palauttamaan nimen, vaikka mukana toimitettu sähköposti- / salasanayhdistelmä olisi väärä. Vielä enemmän, se myös
antaa profiilikuvan (tämä skripti ei korjaa sitä, mutta sen lisääminen on helppoa). Facebookin käyttäjillä ei ole tätä hallintaa, koska tämä toimii, vaikka olet asettanut kaikki yksityisyysasetukset oikein. Tämän tiedon kerääminen on erittäin helppoa, koska se voidaan helposti ohittaa käyttämällä joukko välityspalvelimia.

facebook login privacy
facebook-sisäänkirjautumisen yksityisyys

Facebook on korjannut ongelman ennätysajassa. Se tarkoittaa kuitenkin sitä
tietosuojaongelmaa voivat hyödyntää kaikki, mukaan lukien käyttäjät, joilla ei ole Facebook-tiliä, kunnes korjausta oli sovellettu.

Yksinkertaisesti englanniksi kuka tahansa, joka löysi ongelman, pystyi linkittämään sähköpostiosoitteet oikeisiin nimiin ja profiilikuviin Facebookissa, jopa ilman tiliä.

Omistautuneet hyökkääjät ovat saattaneet käyttää automaatiota tietojen keräämiseen irtotavarana Facebookista.

Atulin kirjoittama käsitekooditodistus osoitti, että pahantahtoiset käyttäjät olisivat voineet hyödyntää asiaa luodakseen valtavan tietokannan linkitetyistä sähköpostiosoitteista ja täydellisistä nimistä, mikä voi olla tuhoisa, jos sitä käytetään tietojenkalastelukampanjoissa tai muussa haitallisessa käytössä.