En Facebook-fejl blev bare opdaget af sikkerhedsekspert og bug jæger Tommy DeVoss der fik tildelt $5,000. Fejlen tillod ham at se den private e-mail-adresse for enhver bruger af de sociale medier. Desuden, hack gjorde det muligt for ham at samle så mange e-mail adresser som muligt, uanset hvor private brugere troede, de var.
Fejlen jæger kom på tværs af sårbarheden på Thanksgiving og rapporteres det til Facebook bug bounty program. Det tog virksomheden flere uger for at kontrollere fejlen og betale forskeren tildeling af $5,000.
Relaterede: Facebook Messenger App og Chat Sårbar til simpel HTML Exploits
Facebook Bug Forklaret
Fejlen skyldtes brugergenereret Facebook Groups som gør det muligt for brugere at oprette interesseorganisationer på platformen. Forskeren opdagede, at være en administrator af en gruppe, han kunne invitere nogen Facebook for at få Admin Roller via Facebooks aktiviteter såsom redigere indlæg eller tilføje nye medlemmer.
Facebook håndterede invitationer og de blev sendt til inviterede brugerens Beskeder Indbakke og til brugerens e-mail-adresse knyttet til kontoen. Hvad DeVoss opdagede var, at han kunne få adgang til en brugers e-mail-adresse, uanset om han var venner med dem eller ej. De personlige indstillinger af regnskabet var ikke en hindring.
DeVoss fandt endvidere, at ved annullering ventende invitationer brugernes inviteret til at være admins en glitch skete. "Mens Facebook venter på bekræftelse, brugeren videresendes til en Page Roller fane, der indeholder en knap for at annullere anmodningen,"han forklarede.
Næste på hans liste var at skifte til Facebooks mobile syn på fanen Side Roller hvor han kunne se den fulde e-mail-adressen på nogen ønskede han at annullere bliver en admin af Facebook-gruppe. Han bemærkede, at ved at klikke for at annullere admin invitere på den mobile side blev han omdirigeret til en side med e-mail-adresse i URL. Han havde kun at plukke den alm version af den ellers private e-mail-adresse direkte fra webadressen. Her er hvordan det ser ud:
Hvad er konsekvenserne af Facebook Bug?
Virkningen af sårbarheden kan variere. Til at begynde med, indsamle e-mail adresser som der modsiger Facebooks privacy policy og kan føre til målrettede phishing-angreb og forskellige ondsindede aktiviteter.
Facebook bekræftede fejlen ikke er gearede i naturen. En rettelse er allerede blevet gennemført for at forebygge problemet i at blive udnyttet i fremtiden.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: