Mislukte Facebook-inlogpogingen onthullen privé-informatie

• Categorie: Facebook

Probeer Ons Instrument Voor Het Oplossen Van Problemen

Selecteer Het Besturingssysteem Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Kies Een Projectieprogramma (Optioneel) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beschrijf Uw Probleem

Krijg Een Antwoord

Stuur Me Per E -Mail Toon Op De Site

Facebook lijkt tegenwoordig niet tot rust te komen als het om privacy gaat. Een nieuwe bug werd woensdag ontdekt door onderzoeker Atul Agarwal, waardoor iedereen een e-mailadres kon koppelen aan de naam en profielfoto van een Facebook-gebruiker.

Facebook heeft het inlogproces zo ontworpen dat het de gebruiker aanvullende informatie geeft als de combinatie van e-mailadres en wachtwoord die wordt gebruikt om in te loggen, niet overeenkomt.

In plaats van alleen een waarschuwing weer te geven dat de inloginformatie niet correct was, ging Facebook nog een stap verder en toonde 'Login As'-informatie op de pagina. Dit omvatte de profielfoto en de volledige naam van de gebruiker, ongeacht de privacyinstellingen van die gebruiker op Facebook.

Atul beschreef het probleem in detail op Seclists :

Enige tijd geleden merkte ik een vreemd probleem met Facebook op, ik had per ongeluk een verkeerd wachtwoord ingevoerd op Facebook en het toonde mijn voor- en achternaam met profielfoto, samen met het bericht over het onjuiste wachtwoord. Ik dacht dat het feit dat het de naam liet zien iets te maken had met opgeslagen cookies, dus ik probeerde andere e-mail-id's, en het was hetzelfde. Ik vroeg me af wat de mogelijkheden waren en schreef een POC-tool om het te testen.

Dit script extraheert de voor- en achternaam (verstrekt door de gebruikers wanneer ze zich aanmelden voor Facebook). Facebook is zo vriendelijk om de naam te retourneren, zelfs als de opgegeven combinatie van e-mailadres en wachtwoord niet klopt. Verder, het ook
geeft de profielfoto weg (dit script oogst deze niet, maar het is ook gemakkelijk om die toe te voegen). Facebook-gebruikers hebben hier geen controle over, want dit werkt ook als je alle privacy-instellingen goed hebt ingesteld. Het verzamelen van deze gegevens is heel eenvoudig, omdat ze gemakkelijk kunnen worden omzeild door een aantal proxy's te gebruiken.

Het probleem is in recordtijd opgelost door Facebook. Dat betekent echter wel
het privacyprobleem kon door iedereen worden misbruikt, inclusief gebruikers zonder Facebook-account, totdat de correctie was toegepast.

In gewoon Engels: iedereen die het probleem ontdekte, kon e-mailadressen koppelen aan echte namen en profielfoto's op Facebook, zelfs zonder account.

Toegewijde aanvallers hebben mogelijk automatisering gebruikt om de informatie in bulk van Facebook te extraheren.

Het proof of concept-code dat Atul schreef, toonde aan dat kwaadwillende gebruikers het probleem hadden kunnen misbruiken om een ​​enorme database met gekoppelde e-mailadressen en volledige namen te creëren, wat rampzalig zou kunnen zijn bij gebruik in phishing-campagnes of ander kwaadaardig gebruik.