Un bug Facebook a été découvert par tout chercheur en sécurité et bug chasseur Tommy DeVoss qui se sont attribué $5,000. La faille lui a permis de voir l'adresse e-mail privée de tout utilisateur des médias sociaux. En outre, le hack a rendu possible pour lui de recueillir autant d'adresses e-mail que possible, indépendamment de la façon dont les utilisateurs privés pensaient qu'ils étaient.
Le chasseur de bug est venu à travers la vulnérabilité de Thanksgiving et l'a signalé au programme de primes bug Facebook. Il a fallu l'entreprise plusieurs semaines afin de vérifier la faille et de payer le chercheur le prix de $5,000.
en relation: Facebook Messenger App et Chat Vulnérable à Exploits HTML simples
Expliqué Le Bug Facebook
Le bug provient de la fonctionnalité Facebook Groupes généré par les utilisateurs qui permet aux utilisateurs de créer des groupes d'affinité sur la plate-forme. Le chercheur a découvert que d'être un administrateur d'un groupe, il pourrait inviter tout membre de Facebook pour avoir les rôles d'administrateur via les activités de Facebook telles que modifier la poste ou ajouter de nouveaux membres.
Facebook a traité les invitations et ils ont été envoyés à des messages de l'utilisateur invité boîte de réception et à l'adresse e-mail de l'utilisateur lié au compte. Que DeVoss découvert était qu'il ne pouvait avoir accès à l'adresse e-mail d'un utilisateur, peu importe s'il était ami avec eux ou non. Les paramètres des comptes de la vie privée ne sont pas un obstacle.
DeVoss a également constaté que, lors de l'annulation des invitations en attente des utilisateurs invités à être Admins un pépin arrivé. "Alors que Facebook attend la confirmation, l'utilisateur est transmise à un onglet page Rôles qui comprend un bouton pour annuler la demande,"il expliqué.
Suivant sur sa liste a été le passage à affichage mobile de Facebook de l'onglet page Rôles où il a pu voir l'adresse e-mail complète de toute personne qu'il souhaitait annuler de devenir un administrateur du groupe Facebook. Il a remarqué que en cliquant sur pour annuler l'administrateur inviter sur la page d'application mobile, il a été redirigé vers une page avec l'adresse e-mail dans l'URL. Il ne devait arracher la version en clair de l'adresse e-mail par ailleurs privé directement à partir de l'URL. Voici comment cela ressemble:
Quel est l'impact du Bug Facebook?
L'impact de la vulnérabilité peut varier. Pour commencer, la collecte d'adresses e-mail comme ça contredit la politique de confidentialité de Facebook et pourrait conduire à des attaques de phishing ciblées et diverses activités malveillantes.
Facebook a confirmé le défaut n'a pas été exploité dans la nature. Un correctif a déjà été mis en œuvre pour empêcher la question d'être exploités à l'avenir.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: