Fehlgeschlagene Facebook-Anmeldeversuche enthüllen private Informationen

• Kategorie: Facebook

Versuchen Sie Unser Instrument, Um Probleme Zu Beseitigen

Wählen Sie Das Betriebssystem Aus Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Wählen Sie Ein Projektionsprogramm (Optional) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beschreiben Sie Ihr Problem

Eine Antwort Bekommen

Senden Sie Mir Per E -Mail Auf Der Website Zeigen

Facebook scheint heutzutage nicht zur Ruhe zu kommen, wenn es um Datenschutz geht. Am Mittwoch entdeckte der Forscher Atul Agarwal einen neuen Fehler, der es jedem ermöglichte, eine E-Mail-Adresse mit dem Namen und dem Profilbild eines Facebook-Benutzers abzugleichen.

Facebook hat den Anmeldevorgang so konzipiert, dass dem Benutzer zusätzliche Informationen zur Verfügung gestellt werden, wenn die zur Anmeldung verwendete Kombination aus E-Mail und Passwort nicht übereinstimmt.

Anstatt nur eine Warnung anzuzeigen, dass die Anmeldeinformationen nicht korrekt waren, ging Facebook noch einen Schritt weiter und zeigte auf der Seite Informationen zu 'Anmelden als' an. Dies beinhaltete das Profilfoto und den vollständigen Namen des Benutzers, unabhängig von den Datenschutzeinstellungen des Benutzers auf Facebook.

Atul beschrieb das Problem ausführlich am Seclists ::

Vor einiger Zeit bemerkte ich ein seltsames Problem mit Facebook, ich hatte versehentlich ein falsches Passwort in Facebook eingegeben und es zeigte meinen Vor- und Nachnamen mit Profilbild zusammen mit der falschen Passwortmeldung. Ich dachte, dass die Tatsache, dass der Name angezeigt wird, etwas mit gespeicherten Cookies zu tun hat, also habe ich andere E-Mail-IDs ausprobiert, und es war dasselbe. Ich wunderte mich über die Möglichkeiten und schrieb ein POC-Tool, um es zu testen.

Dieses Skript extrahiert den Vor- und Nachnamen (von den Benutzern bei der Anmeldung bei Facebook angegeben). Facebook ist so freundlich, den Namen zurückzugeben, auch wenn die angegebene Kombination aus E-Mail und Passwort falsch ist. Darüber hinaus auch
gibt das Profilbild aus (dieses Skript erntet es nicht, aber es ist auch einfach hinzuzufügen). Facebook-Nutzer haben keine Kontrolle darüber, da dies auch dann funktioniert, wenn Sie alle Datenschutzeinstellungen richtig eingestellt haben. Das Ernten dieser Daten ist sehr einfach, da sie mithilfe einer Reihe von Proxys leicht umgangen werden können.

Das Problem wurde in Rekordzeit von Facebook behoben. Es bedeutet jedoch, dass
Das Datenschutzproblem konnte von allen ausgenutzt werden, einschließlich Benutzern ohne Facebook-Konto, bis das Update angewendet wurde.

Im Klartext konnte jeder, der das Problem entdeckte, E-Mail-Adressen auch ohne Konto mit echten Namen und Profilfotos auf Facebook verknüpfen.

Engagierte Angreifer haben möglicherweise die Automatisierung verwendet, um die Informationen in großen Mengen von Facebook zu extrahieren.

Der von Atul geschriebene Proof-of-Concept-Code zeigte, dass böswillige Benutzer das Problem ausgenutzt haben könnten, um eine riesige Datenbank mit verknüpften E-Mail-Adressen und vollständigen Namen zu erstellen. Dies könnte katastrophal sein, wenn sie in Phishing-Kampagnen oder anderen böswilligen Verwendungen verwendet werden.