Różności i nowinki technologia

Przygotuj się. Facebook ma w rękach nowy mega-wyciek

Przygotuj się.  Facebook ma w rękach nowy mega-wyciek

Getty Images

Gigant mediów społecznościowych, wciąż cierpiący z powodu zrzutu numerów telefonów należących do 500 milionów użytkowników Facebooka z zeszłego miesiąca, musi zmierzyć się z nowym kryzysem prywatności: narzędziem, które masowo łączy konta na Facebooku powiązane z adresami e-mail, nawet jeśli użytkownicy wybierz ustawienia, aby nie były publiczne.

Krążące we wtorek wideo pokazało badacza demonstrującego narzędzie o nazwie Facebook Email Search v1.0, które, jak powiedział, może łączyć konta na Facebooku z aż 5 milionami adresów e-mail dziennie. Badacz – który powiedział, że upublicznił się po tym, jak Facebook powiedział, że nie sądzi, aby znaleziona przez niego słabość była wystarczająco „ważna”, aby można ją było naprawić – podał narzędziu listę 65 000 adresów e-mail i obserwował, co stało się później.

„Jak widać z dziennika wyjściowego, otrzymuję z nich znaczną liczbę wyników” – powiedział badacz, gdy wideo pokazało narzędzie, które przegląda listę adresów. „Wydałem może 10 dolarów na zakup 200 nieparzystych kont na Facebooku. W ciągu trzech minut udało mi się to zrobić za 6000 [email] rachunki ”.

Ars uzyskał film pod warunkiem, że nie zostanie on udostępniony. Pełna transkrypcja audio znajduje się na końcu tego posta.

Upuszczenie piłki

W oświadczeniu Facebook powiedział: „Wygląda na to, że omyłkowo zamknęliśmy ten raport o bounty przed skierowaniem do odpowiedniego zespołu. Doceniamy naukowców, którzy dzielą się informacjami i podejmujemy wstępne działania w celu złagodzenia tego problemu, a my kontynuujemy działania, aby lepiej zrozumieć ich ustalenia ”.

Przedstawiciel Facebooka nie odpowiedział na pytanie, czy firma powiedziała badaczowi, że nie uważa luki za wystarczająco ważną, aby uzasadnić naprawę. Przedstawiciel powiedział, że inżynierowie Facebooka uważają, że złagodzili wyciek, wyłączając technikę pokazaną na filmie.

Badacz, którego Ars zgodził się nie identyfikować, powiedział, że wyszukiwarka e-mailowa na Facebooku wykorzystała lukę w zabezpieczeniach front-endu, którą niedawno zgłosił Facebookowi, ale „uważają, że nie są one wystarczająco ważne, aby można było je załatać”. Na początku tego roku Facebook miał podobną lukę, która została ostatecznie naprawiona.

„Jest to w zasadzie dokładnie ta sama luka” – mówi badacz. „I z jakiegoś powodu, mimo że pokazałem to Facebookowi i uświadomiłem im to, powiedzieli mi bezpośrednio, że nie będą podejmować działań przeciwko temu”.

Na Twitterze

Facebook znalazł się pod ostrzałem nie tylko ze względu na zapewnienie środków dla tych ogromnych zbiorów danych, ale także sposób, w jaki aktywnie stara się promować ideę, że wyrządzają one minimalną szkodę użytkownikom Facebooka. E-mail, który Facebook nieumyślnie wysłał do reportera holenderskiej publikacji DataNews, poinstruował osoby zajmujące się public relations, aby „ujęli to jako szeroki problem branżowy i znormalizowali fakt, że ta działalność ma miejsce regularnie”. Facebook dokonał również rozróżnienia między skrobaniem a włamaniami lub włamaniami.

Nie jest jasne, czy ktoś aktywnie wykorzystał ten błąd do zbudowania ogromnej bazy danych, ale z pewnością nie byłoby to zaskakujące. „Uważam, że jest to dość niebezpieczna luka i chciałbym pomóc w zatrzymaniu tego” – powiedział badacz.

Oto pisemna transkrypcja filmu:

Tak więc chciałbym tutaj zademonstrować aktywną lukę w zabezpieczeniach Facebooka, która umożliwia złośliwym użytkownikom wysyłanie zapytań do adresów e-mail na Facebooku i zwracanie przez Facebooka dowolnych pasujących użytkowników.

Um, to działa z luką front-endową w Facebooku, o której im zgłosiłem, uświadomili im, że nie uważają za wystarczająco ważne, aby je załatać, co uważam za całkiem niezłe znaczące naruszenie prywatności i duży problem.

Ta metoda jest obecnie używana przez oprogramowanie, które jest obecnie dostępne w społeczności hakerskiej.

Obecnie jest używany do naruszania kont na Facebooku w celu przejęcia grup stron i, uh, kont reklamowych na Facebooku w celu oczywiście uzyskania korzyści finansowych. Um, utworzyłem ten przykład wizualny w żadnym JS.

Zrobiłem tutaj to, że wziąłem 250 kont na Facebooku, nowo zarejestrowane konta na Facebooku, które kupiłem online za około 10 USD.

Hm, zapytałem lub sprawdzam 65 000 adresów e-mail. Jak widać z dziennika wyników tutaj, otrzymuję z nich znaczną liczbę wyników.

Jeśli spojrzę na plik wyjściowy, zobaczysz, że mam nazwę użytkownika i adres e-mail pasujący do wejściowych adresów e-mail, których użyłem. Teraz, jak mówię, wydałem może 10 dolarów, używając dwóch, aby kupić 200 nieparzystych kont na Facebooku. W ciągu trzech minut udało mi się to zrobić dla 6000 kont.

Przetestowałem to na większą skalę i można to wykorzystać do wyodrębnienia do 5 milionów adresów e-mail dziennie.

Na początku tego roku istniała luka w zabezpieczeniach Facebooka, która została załatana. Zasadniczo jest to dokładnie ta sama luka w zabezpieczeniach. I z jakiegoś powodu, mimo że pokazałem to Facebookowi i uświadomiłem im to, hm, powiedzieli mi bezpośrednio, że nie będą podejmować żadnych działań przeciwko temu.

Dlatego zwracam się do ludzi takich jak wy, uh, w nadziei, że możecie wykorzystać swoje wpływy lub kontakty, aby to powstrzymać, ponieważ jestem bardzo, bardzo pewny siebie.

To nie tylko ogromne naruszenie prywatności, ale spowoduje to nowy, kolejny duży zrzut danych, w tym wiadomości e-mail, które pozwolą niepożądanym stronom nie tylko na otrzymanie tego e-maila do dopasowań identyfikatora użytkownika, ale także dołączenie adres e-mail do numerów telefonów, które były dostępne w poprzednich włamaniach, hm, z przyjemnością zademonstruję lukę w zabezpieczeniach interfejsu użytkownika, abyś mógł zobaczyć, jak to działa.

Nie pokażę tego w tym filmie tylko dlatego, że nie chcę, aby film był, hm, nie chcę, aby metoda była wykorzystywana, ale jeśli byłbym szczęśliwy, aby to zademonstrować, hm , jeśli jest to konieczne, ale jak widać, widać, że nadal produkuje coraz więcej i więcej. Uważam, że jest to dość niebezpieczna luka i chciałbym pomóc w zatrzymaniu tego.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook