I tentativi di accesso a Facebook non riusciti rivelano informazioni private

• Categoria: Facebook

Prova Il Nostro Strumento Per Eliminare I Problemi

Seleziona Il Sistema Operativo Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Scegli Un Programma Di Proiezione (Facoltativamente) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Descrivi Il Tuo Problema

Ottieni Una Risposta

Inviami Via E -Mail Mostra Sul Sito

Facebook non sembra fermarsi in questi giorni quando si tratta di privacy. Un nuovo bug è stato scoperto mercoledì dal ricercatore Atul Agarwal, che ha permesso a chiunque di abbinare un indirizzo e-mail al nome di un utente di Facebook e all'immagine del profilo.

Facebook ha progettato il processo di accesso per fornire ulteriori informazioni all'utente se la combinazione di e-mail e password utilizzata per accedere non corrispondono.

Invece di visualizzare semplicemente un avviso che le informazioni di accesso non erano corrette, Facebook ha fatto un ulteriore passo avanti e ha visualizzato le informazioni 'Accedi come' sulla pagina. Ciò includeva la foto del profilo dell'utente e il nome completo indipendentemente dalle impostazioni sulla privacy dell'utente su Facebook.

Atul ha descritto il problema in dettaglio su Seclists :

Qualche tempo fa, ho notato uno strano problema con Facebook, avevo inserito accidentalmente una password errata in Facebook e mostrava il mio nome e cognome con l'immagine del profilo, insieme al messaggio di password errata. Ho pensato che il fatto che stesse mostrando il nome avesse qualcosa a che fare con i cookie memorizzati, quindi ho provato altri ID e-mail ed è stato lo stesso. Mi sono chiesto le possibilità e ho scritto uno strumento POC per testarlo.

Questo script estrae il nome e il cognome (forniti dagli utenti quando si iscrivono a Facebook). Facebook è così gentile da restituire il nome anche se la combinazione email / password fornita è sbagliata. Inoltre, anche
fornisce l'immagine del profilo (questo script non la raccoglie, ma è facile aggiungerla anche). Gli utenti di Facebook non hanno alcun controllo su questo, poiché funziona anche quando hai impostato correttamente tutte le impostazioni sulla privacy. La raccolta di questi dati è molto semplice, in quanto può essere facilmente aggirata utilizzando una serie di proxy.

Il problema è stato risolto a tempo di record da Facebook. Tuttavia significa che
il problema della privacy era sfruttabile da tutti, inclusi gli utenti senza un account Facebook, fino a quando non veniva applicata la correzione.

In parole povere, chiunque abbia scoperto il problema è stato in grado di collegare indirizzi e-mail a nomi reali e foto del profilo su Facebook, anche senza un account.

Gli aggressori dedicati potrebbero aver utilizzato l'automazione per estrarre le informazioni in blocco da Facebook.

Il codice proof of concept scritto da Atul ha mostrato che utenti malintenzionati avrebbero potuto sfruttare il problema per creare un enorme database di indirizzi e-mail collegati e nomi completi, che potrebbero essere disastrosi se utilizzati in campagne di phishing o altri usi dannosi.