Misslyckade Facebook-inloggningsförsök avslöja privat information

Prova Vårt Instrument För Att Eliminera Problem

Facebook verkar inte vila i dessa dagar när det gäller sekretess. Ett nytt fel upptäcktes på onsdag av forskaren Atul Agarwal, som gjorde det möjligt för vem som helst att matcha en e-postadress till en Facebook-användares namn och profilbild.

Facebook har utformat inloggningsprocessen för att ge ytterligare information till användaren om e-post- och lösenordkombinationen som används för att logga in inte stämmer.

I stället för att bara visa en varning om att inloggningsinformationen inte var korrekt, gick Facebook ett steg längre och visade 'Logga in' -information på sidan. Detta inkluderade användarens profilfoto och fullt namn oavsett användarens sekretessinställningar på Facebook.

Atul beskrev problemet i detalj på Seclists :

Någon gång tillbaka märkte jag ett konstigt problem med Facebook, jag hade av misstag angett fel lösenord i Facebook, och det visade mitt för- och efternamn med profilbild, tillsammans med lösenordets felaktiga meddelande. Jag trodde att det faktum att det visade namnet hade något att göra med lagrade kakor, så jag försökte andra e-post-id, och det var samma sak. Jag undrade över möjligheterna och skrev ett POC-verktyg för att testa det.

Detta skript extraherar för- och efternamnet (tillhandahålls av användarna när de registrerar sig på Facebook). Facebook är tillräckligt vänlig för att returnera namnet även om den medföljande e-post / lösenordskombinationen är fel. Ytterligare mer, det också
ger profilbilden (detta skript skördar inte det, men det är lätt att lägga till det också). Facebook-användare har ingen kontroll över detta, eftersom det fungerar även om du har ställt in alla sekretessinställningar på rätt sätt. Det är mycket enkelt att skörda dessa uppgifter, eftersom de enkelt kan förbikopplas genom att använda ett gäng proxyer.

facebook login privacy
facebook inloggning sekretess

Problemet har fixats på rekordtid av Facebook. Det betyder dock det
integritetsfrågan utnyttjades av alla, inklusive användare utan Facebook-konto, tills fixen hade tillämpats.

På vanligt engelska kunde alla som upptäckte problemet koppla e-postadresser till riktiga namn och profilfoton på Facebook, även utan konto.

Dedikerade angripare kan ha använt automatisering för att extrahera informationen i bulk från Facebook.

Beviset för konceptkod som Atul skrev visade att skadliga användare kunde ha utnyttjat problemet för att skapa en enorm databas med länkade e-postadresser och fullständiga namn, vilket kan vara katastrofalt om de används i phishing-kampanjer eller annan skadlig användning.