ניסיונות כניסה לפייסבוק נכשלים חושפים מידע פרטי
- קטגוריה: פייסבוק
נראה כי פייסבוק לא נחה בימים אלה בכל הנוגע לפרטיות. באג חדש התגלה ביום רביעי על ידי החוקר אטול אגארוואל, שאיפשר לכל אחד להתאים כתובת דוא'ל לשמו של המשתמש בפייסבוק ותמונת הפרופיל שלו.
פייסבוק עיצבה את תהליך ההתחברות כדי לספק מידע נוסף למשתמש אם שילוב הדוא'ל והסיסמה המשמשים לכניסה אינם תואמים.
במקום פשוט להציג אזהרה שמידע ההתחברות לא היה נכון, פייסבוק התקדמה צעד אחד קדימה והציגה בדף את 'כניסה בשם'. זה כלל את תמונת הפרופיל של המשתמש ושמו המלא ללא קשר להגדרות הפרטיות של המשתמש בפייסבוק.
אטול תיאר את הבעיה בפירוט ב שחקנים :
לפני זמן מה שמתי לב לבעיה מוזרה בפייסבוק, הזנתי בטעות סיסמא שגויה בפייסבוק וזה הראה את שמי הפרטי ושם המשפחה עם תמונת פרופיל, יחד עם ההודעה הלא נכונה של הסיסמה. חשבתי שלעובדה שהוא מראה את השם זה קשור לעוגיות המאוחסנות, אז ניסיתי מזהי אימיילים אחרים וזה היה אותו דבר. תהיתי לגבי האפשרויות וכתבתי כלי POC לבדיקתו.
סקריפט זה מחלץ את השם הפרטי ושם המשפחה (המסופק על ידי המשתמשים כאשר הם נרשמים לפייסבוק). פייסבוק חביבה מספיק כדי להחזיר את השם גם אם שילוב הדוא'ל והסיסמה שסופק שגוי. בהמשך לכך, זה גם
נותן את תמונת הפרופיל (סקריפט זה אינו קוצר אותה, אך קל להוסיף גם את זה). למשתמשי פייסבוק אין שליטה על זה, מכיוון שזה עובד גם כאשר הגדרת כראוי את כל הגדרות הפרטיות. קציר נתונים זה קל מאוד, שכן ניתן לעקוף אותו בקלות באמצעות חבורה של פרוקסי.
הבעיה תוקנה בזמן שיא על ידי פייסבוק. אולם זה אומר
נושא הפרטיות נוצל על ידי כולם, כולל משתמשים ללא חשבון פייסבוק, עד ליישום התיקון.
באנגלית רגילה, כל מי שגילה את הבעיה הצליח לקשר כתובות דוא'ל לשמות אמיתיים ותמונות פרופיל בפייסבוק, אפילו בלי חשבון.
תוקפים ייעודיים עשויים להשתמש באוטומציה כדי לחלץ את המידע בכמויות גדולות מפייסבוק.
הוכחת קוד הקונספט שאותו כתב אטול הראתה שמשתמשים זדוניים יכולים היו לנצל את הנושא כדי ליצור מאגר נתונים ענק של כתובות דוא'ל מקושרות ושמות מלאים, מה שעלול להיות הרה אסון אם משתמשים בו במסעות דיוג או שימושים זדוניים אחרים.