Неудачные попытки входа в Facebook раскрывают личную информацию

Facebook, кажется, не собирается отдыхать в наши дни, когда дело касается конфиденциальности. В среду исследователь Атул Агарвал обнаружил новую ошибку, которая позволила любому сопоставить адрес электронной почты с именем пользователя Facebook и изображением профиля.

Facebook разработал процесс входа в систему, чтобы предоставить пользователю дополнительную информацию, если комбинация электронной почты и пароля, используемая для входа, не совпадает.

Вместо того, чтобы просто отображать предупреждение о том, что информация для входа в систему неверна, Facebook пошел еще дальше и отобразил на странице информацию «Войти как». Это включало фотографию профиля пользователя и полное имя независимо от настроек конфиденциальности этого пользователя на Facebook.

Атул подробно описал проблему на Секлисты:

Некоторое время назад я заметил странную проблему с Facebook, я случайно ввел неправильный пароль в Facebook, и он показал мое имя и фамилию с изображением профиля, а также сообщение о неправильном пароле. Я подумал, что тот факт, что он показывает имя, имеет какое-то отношение к сохраненным файлам cookie, поэтому я попробовал другие идентификаторы электронной почты, и это было то же самое. Я задумался о возможностях и написал инструмент POC, чтобы проверить это.

Этот скрипт извлекает имя и фамилию (предоставленные пользователями при регистрации в Facebook). Facebook достаточно любезен, чтобы вернуть имя, даже если предоставленная комбинация адреса электронной почты и пароля неверна. Более того, это также
выдает изображение профиля (этот сценарий не собирает его, но его тоже легко добавить). Пользователи Facebook не могут это контролировать, так как это работает, даже если вы правильно настроили все настройки конфиденциальности. Сбор этих данных очень прост, так как его можно легко обойти с помощью группы прокси.

Конфиденциальность входа в facebookКонфиденциальность входа в facebook

Проблема была исправлена ​​Facebook в рекордно короткие сроки. Однако это означает, что
проблема конфиденциальности была доступна всем, включая пользователей без учетной записи Facebook, пока не было применено исправление.

Говоря простым языком, любой, кто обнаружил проблему, мог связать адреса электронной почты с реальными именами и фотографиями профиля на Facebook, даже без учетной записи.

Специальные злоумышленники могли использовать автоматизацию для массового извлечения информации из Facebook.

Доказательство концептуального кода, написанное Атулом, показало, что злоумышленники могли использовать проблему для создания огромной базы данных связанных адресов электронной почты и полных имен, что может иметь катастрофические последствия при использовании в фишинговых кампаниях или других вредоносных целях.