Zet je schrap. Facebook heeft een enorm nieuw lek in handen

De socialemediagigant voelt zich nog steeds slim over het dumpen van telefoonnummers voor 500 miljoen Facebook-gebruikers vorige maand, en wordt geconfronteerd met een nieuwe privacycrisis om mee om te gaan: een tool die Facebook-accounts in grote lijnen koppelt aan e-mailadressen, zelfs wanneer gebruikers instellingen kiezen om te voorkomen dat ze dit kunnen doen. Om een ​​publiek te zijn.

Een video die dinsdag circuleerde, toonde een onderzoeker die een tool presenteerde met de naam Facebook Email Search v1.0, die volgens hem Facebook-accounts aan maximaal 5 miljoen e-mailadressen per dag zou kunnen koppelen. De onderzoeker – die zei dat het openbaar werd nadat Facebook zei dat het de gevonden kwetsbaarheid niet “belangrijk” genoeg vond om het probleem op te lossen – voorzag de tool van een lijst met 65.000 e-mailadressen en hield in de gaten wat er daarna gebeurde.

“Zoals je kunt zien in het uitvoerlogboek hier, krijg ik er veel resultaten van”, zei de onderzoeker terwijl de video liet zien dat de tool de titellijst crashte. “Ik heb misschien $ 10 uitgegeven aan het kopen van 200 individuele Facebook-accounts. Binnen drie minuten was ik in staat om het te doen voor 6000 [email] Accounts. “

Ars kreeg de video onder de voorwaarde dat de video niet werd gedeeld. Aan het einde van dit bericht wordt een volledig audiotranscript weergegeven.

Laat de bal vallen

In een verklaring zei Facebook: “Het lijkt erop dat we dit beloningsrapport voor fouten per ongeluk hebben gesloten voordat we het doorverwijzen naar het juiste team. We waarderen het delen van informatie door de onderzoeker en nemen de eerste maatregelen om dit probleem te verhelpen, terwijl we het ook opvolgen om het beter te begrijpen. de bevindingen.”

READ  Grim Guardians: Demon Purge gelanceerd op 23 februari 2023

Een Facebook-vertegenwoordiger reageerde niet op een vraag of het bedrijf de onderzoeker had verteld dat het de kwetsbaarheid niet belangrijk genoeg vond om een ​​oplossing te rechtvaardigen. De acteur zei dat Facebook-ingenieurs dachten dat ze het lek hadden beperkt door de technologie die in de video wordt getoond, te verstoren.

De onderzoeker, wiens identiteit Ars ermee instemde anoniem te blijven, zei dat Facebook Email Search misbruik maakte van een beveiligingsfout aan de voorkant waarover Facebook onlangs rapporteerde, maar dat het ” [Facebook] U vindt het niet belangrijk genoeg om gecorrigeerd te worden. Eerder dit jaar had Facebook een vergelijkbare kwetsbaarheid die eindelijk werd verholpen.

“Dit is precies dezelfde zwakte”, zegt de onderzoeker. “En om de een of andere reden, hoewel ik dit duidelijk maakte aan Facebook en hen er gevoelig voor maakte, vertelden ze me direct dat ze er geen actie tegen zouden ondernemen.”

Op Twitter

Facebook is niet alleen bekritiseerd omdat het de middelen biedt voor deze enorme gegevensverzamelingen, maar ook vanwege de manier waarop het actief probeert het idee te promoten dat het minimale schade toebrengt aan Facebook-gebruikers. Een e-mail die Facebook per ongeluk naar een verslaggever in de Nederlandse post stuurde Data News Hij droeg PR-beoefenaars op om “dit als een grootschalig industrieprobleem te beschouwen en het feit dat deze activiteit regelmatig plaatsvindt te normaliseren.” Facebook maakt ook onderscheid tussen scraping en hacking of hacking.

Het is niet duidelijk of iemand effectief van deze bug heeft geprofiteerd om een ​​enorme database te bouwen, maar dit zou zeker niet moeten verbazen. “Ik denk dat dit een zeer ernstige zwakte is, en ik zou het graag willen helpen voorkomen”, zei de onderzoeker.

READ  AMD brengt ruisonderdrukkingstechnologie en tot 92% OpenGL-prestatieverbetering uit in nieuwste stuurprogramma's

Dit is het transcript voor de video:

Dus wat ik hier zou willen uitleggen, is een actief beveiligingsprobleem binnen Facebook, waardoor kwaadwillende gebruikers e-mailadressen op Facebook kunnen opvragen en Facebook en eventuele overeenkomende gebruikers kunnen retourneren.

Dit werkt met een beveiligingsfout in de front-end met Facebook, waarover ik ze heb geïnformeerd, en ze heeft laten beseffen dat ze niet belangrijk genoeg worden gevonden om gecorrigeerd te worden, wat ik absoluut categorisch zou vinden, uh , een privacyschending en een groot probleem.

Deze methode wordt momenteel gebruikt door software die momenteel beschikbaar is in de hackcommunity.

Het wordt momenteel gebruikt om Facebook-accounts te kraken met als doel paginagroepen over te nemen en eh, Facebook-advertentieaccounts voor duidelijk financieel gewin. Hmmm, ik heb dit visuele voorbeeld gemaakt zonder JS.

Wat ik hier deed, is dat ik 250 Facebook-accounts nam, nieuw geregistreerde Facebook-accounts, die ik online kocht voor ongeveer $ 10.

Ik heb naar 65.000 e-mailadressen gevraagd of geïnformeerd. En zoals je kunt zien in het uitvoerlogboek hier, krijg ik er behoorlijk wat resultaten van.

Als je naar het uitvoerbestand kijkt, zie je dat ik een gebruikersnaam en e-mailadres heb die overeenkomen met de ingevoerde e-mailadressen die ik heb gebruikt. Nu heb ik, zoals ik al zei, waarschijnlijk $ 10 uitgegeven door er twee te gebruiken om 200 individuele Facebook-accounts te kopen. En binnen drie minuten kon ik dit doen voor 6000 accounts.

Ik heb dit op grotere schaal getest en het is mogelijk om hiermee tot wel 5 miljoen e-mailadressen per dag te extraheren.

Nu was er eerder dit jaar een beveiligingslek met Facebook dat is gecorrigeerd. Dit is in wezen dezelfde zwakte. En om de een of andere reden, hoewel ik dit duidelijk maakte aan Facebook en hen er gevoelig voor maakte, vertelden ze me direct dat ze er geen actie tegen zouden ondernemen.

Dus ik reik uit naar mensen zoals jij, in de hoop dat je je invloed of je connecties kunt gebruiken om dit te stoppen, want ik heb er heel veel vertrouwen in.

Dit is niet alleen een grote inbreuk op de privacy, maar het zal ook resulteren in een nieuwe enorme hoeveelheid gegevens, waaronder e-mails, waardoor ongewenste partijen niet alleen kunnen zien dat deze e-mail overeenkomt met een gebruikers-ID, maar ook het e-mailadres aan telefoonnummers kunnen toevoegen. ., Die beschikbaar was bij eerdere inbreuken, ik ben erg blij om de front-end-kwetsbaarheid te bewijzen, zodat u kunt zien hoe dit werkt.

Ik ga het niet in deze video laten zien, alleen omdat ik niet wil dat de video zo is, ik wil niet dat de methode wordt misbruikt, maar als ik heel blij ga zijn, moet ik het bewijzen , eh, als het nodig is, maar zoals u kunt zien, kunt u steeds meer naar buiten brengen. Ik denk dat dat een zeer ernstige zwakte is en ik zou graag willen helpen dat te stoppen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *