Mislykkede Facebook-påloggingsforsøk avslører privat informasjon
- Kategori: Facebook
Facebook ser ikke ut til å hvile i disse dager når det gjelder personvern. En ny feil ble oppdaget onsdag av forsker Atul Agarwal, som tillot alle å matche en e-postadresse til en Facebook-brukerens navn og profilbilde.
Facebook har designet påloggingsprosessen for å gi tilleggsinformasjon til brukeren hvis kombinasjonen av e-post og passord som ble brukt for å logge inn ikke stemmer.
I stedet for bare å vise en advarsel om at påloggingsinformasjonen ikke var korrekt, gikk Facebook et skritt videre og viste 'Logg inn' -informasjon på siden. Dette inkluderte brukerens profilbilde og fullt navn uavhengig av brukerens personverninnstillinger på Facebook.
Atul beskrev problemet i detalj på Seclists :
For en gang tilbake la jeg merke til et merkelig problem med Facebook, jeg hadde tilfeldigvis tastet feil passord i Facebook, og det viste for- og etternavnet mitt med profilbilde, sammen med feil passordmelding. Jeg trodde at det at det viste navnet, hadde noe å gjøre med informasjonskapsler som var lagret, så jeg prøvde andre e-post-ID-er, og det var det samme. Jeg lurte på mulighetene, og skrev et POC-verktøy for å teste det.
Dette skriptet trekker ut Fornavn og Etternavn (levert av brukerne når de registrerer seg på Facebook). Facebook er snill nok til å returnere navnet selv om den medfølgende e-post / passord-kombinasjonen er feil. Videre mer, det også
gir ut profilbildet (dette skriptet høster ikke det, men det er enkelt å legge til det også). Facebook-brukere har ingen kontroll over dette, da dette fungerer selv når du har angitt alle personverninnstillinger riktig. Det er veldig enkelt å høste disse dataene, ettersom de lett kan omgås ved å bruke en haug med fullmektiger.
Problemet er løst på rekordtid av Facebook. Det betyr imidlertid det
personvernproblemet ble utnyttet av alle, inkludert brukere uten Facebook-konto, inntil fiksen var blitt brukt.
På vanlig engelsk kunne alle som oppdaget problemet koble e-postadresser til ekte navn og profilbilder på Facebook, selv uten konto.
Dedikerte angripere kan ha brukt automatisering for å hente ut informasjonen i bulk fra Facebook.
Beviset for konseptkode som Atul skrev, viste at ondsinnede brukere kunne ha utnyttet problemet til å lage en enorm database med koblede e-postadresser og fulle navn, noe som kan være katastrofalt hvis de brukes i phishing-kampanjer eller annen ondsinnet bruk.