Gigant v sociálních médiích se minulý měsíc cítí chytře, když dovádí telefonní čísla pro 500 milionů uživatelů Facebooku, a čelí nové krizi ochrany soukromí, kterou je třeba řešit: nástroj, který široce propojuje účty Facebooku spojené s e-mailovými adresami, i když uživatelé zvolí nastavení, které jim zabrání Být veřejností.
Video, které obíhalo v úterý, ukázalo, že výzkumník představil nástroj s názvem Facebook Email Search v1.0, který podle něj dokáže propojit účty Facebook až s 5 miliony e-mailových adres denně. Výzkumník – který uvedl, že se stal veřejným poté, co Facebook uvedl, že si nemyslí, že zranitelnost, kterou našel, je natolik „důležitá“, aby ji napravila – poskytl nástroji seznam 65 000 e-mailových adres a sledoval, co se stalo dál.
„Jak můžete vidět z historie výstupu zde, získávám z ní spoustu výsledků,“ řekl výzkumník, když video ukázalo, že nástroj shazoval seznam titulů. „Strávil jsem možná 10 $ nákupem 200 individuálních účtů na Facebooku. Za tři minuty jsem to dokázal za 6000.“ [email] Účty. “
Ars dostal video pod podmínkou, že video nebylo sdíleno. Celý zvukový přepis se objeví na konci tohoto příspěvku.
Odhoď míč
Ve svém prohlášení společnost Facebook uvedla: „Zdá se, že jsme tuto zprávu o odměně za chyby omylem uzavřeli, než ji nasměrujeme příslušnému týmu. Vážíme si sdílení informací výzkumného pracovníka a přijímáme počáteční opatření ke zmírnění tohoto problému a v návaznosti na lepší pochopení zjištění.“
Zástupce Facebooku neodpověděl na otázku, zda společnost uvedla výzkumníkovi, že nepovažuje tuto zranitelnost za dostatečně důležitou, aby opravila. Herec uvedl, že inženýři Facebooku věřili, že únik zmírnili narušením technologie zobrazené ve videu.
Výzkumník, jehož identitu Ars souhlasil, že zůstane v anonymitě, uvedl, že Facebook Email Search využil bezpečnostní chybu v přední části, o které Facebook nedávno informoval, ale že “ [Facebook] Nepovažujete za dostatečně důležité, aby vás opravili. Začátkem tohoto roku měl Facebook podobnou zranitelnost, která byla nakonec opravena.
„Je to přesně stejná slabost,“ říká výzkumník. „A z nějakého důvodu, i když jsem to Facebooku vysvětlil a přivedl je k němu, je mi přímo řečeno, že proti němu nebudou podnikat žádné kroky.“
Na Twitteru
Facebook byl kritizován za to, že poskytuje nejen prostředky pro tyto masivní sbírky dat, ale také za to, jak se aktivně snaží propagovat myšlenku, že uživatelům Facebooku škodí minimálně. E-mail, který Facebook nechtěně poslal reportérovi v holandském příspěvku Datové zprávy Nařídil praktickým lékařům, aby „to považovali za problém velkého průmyslu a normalizovali skutečnost, že tato činnost probíhá pravidelně.“ Facebook také rozlišuje mezi škrábáním a hackováním nebo hackováním.
Není jasné, zda někdo účinně využil této chyby k vytvoření rozsáhlé databáze, ale rozhodně by to nemělo být překvapivé. „Myslím, že se jedná o velmi vážnou slabost, a rád bych tomu zabránil,“ řekl výzkumník.
Toto je přepis videa:
To, co bych zde chtěl vysvětlit, je aktivní chyba zabezpečení uvnitř Facebooku, která umožňuje uživatelům se zlými úmysly dotazovat se na e-mailové adresy na Facebooku a vrátit Facebook a všechny odpovídající uživatele.
Hm, toto funguje s bezpečnostní chybou ve front-endu s Facebookem, o kterém jsem je informoval, a přiměl je, aby si uvědomili, ehm, že nejsou považováni za dostatečně důležité k opravě, což bych považoval za naprosto kategorické, uh , narušení soukromí a velký problém.
Tuto metodu aktuálně používá software, který je aktuálně k dispozici v hackerské komunitě.
V současné době se používá k prolomení účtů Facebook za účelem převzetí skupin stránek a účtů reklam Facebook kvůli jasnému finančnímu zisku. Hmmm, vytvořil jsem tento vizuální příklad bez JS.
To, co jsem zde udělal, je, že jsem vzal 250 účtů na Facebooku, nově zaregistrované účty na Facebooku, které jsem koupil online za přibližně 10 $.
Dotazoval (a) jsem se na 65 000 e-mailových adres. A jak vidíte z výstupního protokolu zde, dostávám od nich docela dost výsledků.
Pokud se podíváte na výstupní soubor, uvidíte, že mám uživatelské jméno a e-mailovou adresu odpovídající vstupním e-mailovým adresám, které jsem použil. Nyní jsem, jak jsem řekl, pravděpodobně utratil 10 $ pomocí dvou na nákup 200 jednotlivých účtů na Facebooku. A do tří minut jsem to dokázal pro 6000 účtů.
Testoval jsem to ve větším měřítku a je možné jej použít k extrakci až 5 milionů e-mailových adres denně.
Nyní na začátku letošního roku byla u Facebooku uh bezpečnostní díra, která byla opravena. To je v podstatě stejná slabost. A z nějakého důvodu, i když jsem to Facebooku jasně vysvětlil a senzibilizoval je, mi přímo řekli, že proti němu nebudou podnikat žádné kroky.
Oslovuji tedy lidi, jako jste vy, v naději, že k tomu můžete využít svůj vliv nebo spojení, protože jsem si velmi jistý.
Nejen, že se jedná o zásadní porušení ochrany osobních údajů, ale povede to k dalšímu masivnímu novému výpisu dat, včetně e-mailů, což nežádoucím stranám umožní nejen získat tento e-mail, který odpovídá ID uživatele, ale také připojit e-mailovou adresu k telefonním číslům ., Který byl k dispozici v předchozích porušeních, jsem velmi rád, že dokážu zranitelnost front-endu, abyste viděli, jak to funguje.
Nebudu to v tomto videu ukazovat jen proto, že nechci, aby video bylo takové, nechci, aby byla metoda zneužita, ale pokud budu velmi šťastná, dokázat to , hm, pokud je to nutné, ale jak vidíte, můžete vidět, jak stále více a více vynášíme. Myslím, že je to velmi vážná slabost a rád bych tomu pomohl zabránit.
„Unapologetický analytik. Rozzuřeně skromný kávový evangelista. Hráč. Nelze psát s boxerskými rukavicemi. Student. Podnikatel.“
You may also like
-
Steam uzavírá mezeru v politice vracení peněz, konečně přichází s názvem pro věc, kde můžete hrát hru brzy, pokud si předobjednáte
-
„Věřím v chůzi“ ke zvýšení produktivity
-
Sony říká, že umění Stellar Blade naznačující rasistický jazyk byl neúmyslný a bude opraven
-
Nintendo rozšiřuje svou knihovnu N64 pro Switch Online o dva další tituly
-
Spam přišel zevnitř domu: Jak může chytrá televize omezit počítač se systémem Windows