Nỗ lực đăng nhập Facebook không thành công Tiết lộ thông tin cá nhân

• Thể LoạI: Facebook

Hãy Thử Công Cụ CủA Chúng Tôi Để LoạI Bỏ Các VấN Đề

ChọN Hệ ĐiềU Hành Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro ChọN MộT Chương Trình ChiếU (Tùy ChọN) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Hãy Miêu Tả VấN Đề CủA BạN

NhậN Câu Trả LờI

GửI Cho Tôi Qua Email HiểN Thị Trên Trang Web

Facebook dường như không ngừng nghỉ trong những ngày này khi nói đến quyền riêng tư. Một lỗi mới được nhà nghiên cứu Atul Agarwal phát hiện hôm thứ Tư, cho phép bất kỳ ai có thể đối sánh địa chỉ email với tên và ảnh hồ sơ của người dùng Facebook.

Facebook đã thiết kế quy trình đăng nhập để cung cấp thêm thông tin cho người dùng nếu tổ hợp email và mật khẩu được sử dụng để đăng nhập không khớp.

Thay vì chỉ hiển thị cảnh báo rằng thông tin đăng nhập không chính xác, Facebook đã tiến thêm một bước nữa và hiển thị thông tin 'Đăng nhập với tư cách' trên trang. Điều này bao gồm ảnh hồ sơ và tên đầy đủ của người dùng bất kể cài đặt quyền riêng tư của người dùng đó trên Facebook.

Atul đã mô tả vấn đề chi tiết trên Người bảo mật :

Một thời gian trở lại đây, tôi nhận thấy một vấn đề kỳ lạ với Facebook, tôi đã vô tình nhập sai mật khẩu trong Facebook, và nó hiển thị tên và họ của tôi cùng với ảnh hồ sơ, cùng với mật khẩu không chính xác. Tôi nghĩ rằng việc nó hiển thị tên có liên quan gì đó đến cookie được lưu trữ, vì vậy tôi đã thử các id email khác, và nó cũng vậy. Tôi băn khoăn về các khả năng và đã viết một công cụ POC để kiểm tra nó.

Tập lệnh này trích xuất Họ và Tên (do người dùng cung cấp khi họ đăng ký Facebook). Facebook đủ tốt để trả lại tên ngay cả khi kết hợp email / mật khẩu được cung cấp là sai. Hơn nữa, nó cũng
đưa ra ảnh hồ sơ (tập lệnh này không thu thập được nó, nhưng nó cũng dễ dàng thêm vào). Người dùng Facebook không có quyền kiểm soát điều này, vì điều này hoạt động ngay cả khi bạn đã đặt tất cả các cài đặt quyền riêng tư đúng cách. Việc thu thập dữ liệu này rất dễ dàng, vì nó có thể dễ dàng bị bỏ qua bằng cách sử dụng một loạt các proxy.

Sự cố đã được Facebook khắc phục trong thời gian kỷ lục. Tuy nhiên, nó có nghĩa là
vấn đề về quyền riêng tư có thể được khai thác bởi tất cả mọi người, kể cả người dùng không có tài khoản Facebook, cho đến khi áp dụng bản sửa lỗi.

Bằng tiếng Anh đơn giản, bất kỳ ai phát hiện ra vấn đề đều có thể liên kết địa chỉ email với tên thật và ảnh hồ sơ trên Facebook, ngay cả khi không có tài khoản.

Những kẻ tấn công chuyên dụng có thể đã sử dụng tự động hóa để trích xuất hàng loạt thông tin từ Facebook.

Bằng chứng về mã khái niệm mà Atul đã viết cho thấy rằng những người dùng độc hại có thể đã khai thác vấn đề này để tạo ra một cơ sở dữ liệu khổng lồ về các địa chỉ email được liên kết và tên đầy đủ, điều này có thể gây tai hại nếu được sử dụng trong các chiến dịch lừa đảo hoặc sử dụng độc hại khác.