Upaya Masuk Facebook yang Gagal Mengungkap Informasi Pribadi

• Kategori: Facebook

Coba Instrumen Kami Untuk Menghilangkan Masalah

Pilih Sistem Operasi Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Pilih Program Proyeksi (Opsional) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Jelaskan Masalah Anda

Dapatkan Jawaban

Kirimkan Saya Melalui Email Tunjukkan Di Situs

Facebook tampaknya tidak berhenti hari ini dalam hal privasi. Sebuah bug baru ditemukan pada Rabu oleh peneliti Atul Agarwal, yang memungkinkan siapa pun mencocokkan alamat email dengan nama pengguna Facebook dan gambar profil.

Facebook telah merancang proses login untuk memberikan informasi tambahan kepada pengguna jika kombinasi email dan kata sandi yang digunakan untuk login tidak cocok.

Alih-alih hanya menampilkan peringatan bahwa informasi login tidak benar, Facebook melangkah lebih jauh dan menampilkan informasi 'Login Sebagai' di halaman. Ini termasuk foto profil dan nama lengkap pengguna terlepas dari pengaturan privasi pengguna tersebut di Facebook.

Atul menjelaskan masalah tersebut secara rinci Seclists :

Beberapa waktu yang lalu, saya melihat ada masalah aneh dengan Facebook, saya tidak sengaja memasukkan kata sandi yang salah di Facebook, dan itu menunjukkan nama depan dan belakang saya dengan gambar profil, bersama dengan pesan kata sandi yang salah. Saya pikir fakta bahwa itu menunjukkan nama ada hubungannya dengan cookie yang disimpan, jadi saya mencoba id email lain, dan itu sama. Saya bertanya-tanya atas kemungkinannya, dan menulis alat POC untuk mengujinya.

Skrip ini mengekstrak Nama Depan dan Belakang (disediakan oleh pengguna saat mereka mendaftar Facebook). Facebook berbaik hati untuk mengembalikan nama tersebut meskipun kombinasi email / kata sandi yang diberikan salah. Lebih jauh lagi, itu juga
memberikan gambar profil (skrip ini tidak memanennya, tetapi mudah untuk menambahkannya juga). Pengguna Facebook tidak memiliki kendali atas ini, karena ini berfungsi bahkan ketika Anda telah mengatur semua pengaturan privasi dengan benar. Memanen data ini sangat mudah, karena dapat dengan mudah dilewati dengan menggunakan banyak proxy.

Masalah ini telah diperbaiki dalam waktu singkat oleh Facebook. Bagaimanapun itu berarti itu
masalah privasi dapat dieksploitasi oleh semua orang, termasuk pengguna tanpa akun Facebook, hingga perbaikan diterapkan.

Dalam bahasa Inggris sederhana, siapa pun yang menemukan masalah tersebut dapat menautkan alamat email ke nama asli dan foto profil di Facebook, bahkan tanpa akun.

Penyerang khusus mungkin telah menggunakan otomatisasi untuk mengekstrak informasi secara massal dari Facebook.

Bukti kode konsep yang ditulis Atul menunjukkan bahwa pengguna jahat dapat memanfaatkan masalah tersebut untuk membuat basis data besar dari alamat email yang ditautkan dan nama lengkap, yang dapat menjadi bencana jika digunakan dalam kampanye phishing atau penggunaan jahat lainnya.