Mislykkede Facebook-påloggingsforsøk avslører privat informasjon

Prøv Instrumentet Vårt For Å Eliminere Problemer

Facebook ser ikke ut til å hvile i disse dager når det gjelder personvern. En ny feil ble oppdaget onsdag av forsker Atul Agarwal, som tillot alle å matche en e-postadresse til en Facebook-brukerens navn og profilbilde.

Facebook har designet påloggingsprosessen for å gi tilleggsinformasjon til brukeren hvis kombinasjonen av e-post og passord som ble brukt for å logge inn ikke stemmer.

I stedet for bare å vise en advarsel om at påloggingsinformasjonen ikke var korrekt, gikk Facebook et skritt videre og viste 'Logg inn' -informasjon på siden. Dette inkluderte brukerens profilbilde og fullt navn uavhengig av brukerens personverninnstillinger på Facebook.

Atul beskrev problemet i detalj på Seclists :

For en gang tilbake la jeg merke til et merkelig problem med Facebook, jeg hadde tilfeldigvis tastet feil passord i Facebook, og det viste for- og etternavnet mitt med profilbilde, sammen med feil passordmelding. Jeg trodde at det at det viste navnet, hadde noe å gjøre med informasjonskapsler som var lagret, så jeg prøvde andre e-post-ID-er, og det var det samme. Jeg lurte på mulighetene, og skrev et POC-verktøy for å teste det.

Dette skriptet trekker ut Fornavn og Etternavn (levert av brukerne når de registrerer seg på Facebook). Facebook er snill nok til å returnere navnet selv om den medfølgende e-post / passord-kombinasjonen er feil. Videre mer, det også
gir ut profilbildet (dette skriptet høster ikke det, men det er enkelt å legge til det også). Facebook-brukere har ingen kontroll over dette, da dette fungerer selv når du har angitt alle personverninnstillinger riktig. Det er veldig enkelt å høste disse dataene, ettersom de lett kan omgås ved å bruke en haug med fullmektiger.

facebook login privacy
facebook innlogging personvern

Problemet er løst på rekordtid av Facebook. Det betyr imidlertid det
personvernproblemet ble utnyttet av alle, inkludert brukere uten Facebook-konto, inntil fiksen var blitt brukt.

På vanlig engelsk kunne alle som oppdaget problemet koble e-postadresser til ekte navn og profilbilder på Facebook, selv uten konto.

Dedikerte angripere kan ha brukt automatisering for å hente ut informasjonen i bulk fra Facebook.

Beviset for konseptkode som Atul skrev, viste at ondsinnede brukere kunne ha utnyttet problemet til å lage en enorm database med koblede e-postadresser og fulle navn, noe som kan være katastrofalt hvis de brukes i phishing-kampanjer eller annen ondsinnet bruk.