Un bug di Facebook è stato appena scoperto dal ricercatore di sicurezza e cacciatore di bug Tommy DeVoss che si sono assegnato $5,000. Il difetto gli ha permesso di visualizzare l'indirizzo email privato di qualsiasi utente del social media. Inoltre, l'hack ha reso possibile per lui a raccogliere il maggior numero di indirizzi e-mail il più possibile, indipendentemente da come gli utenti privati pensato che fossero.
Il cacciatore di bug sono imbattuto la vulnerabilità del Ringraziamento e segnalato al bug bounty programma di Facebook. Ci sono voluti l'azienda diverse settimane al fine di verificare il difetto e pagare il ricercatore l'attribuzione di $5,000.
Correlata: Facebook Messenger e Chat App vulnerabili agli exploit HTML semplici
The Bug Facebook Explained
Il bug derivava dalla caratteristica Facebook Gruppi generati dagli utenti che consente agli utenti di creare gruppi di affinità sulla piattaforma. Il ricercatore ha scoperto che essere un amministratore di un gruppo che poteva invitare uno di Facebook per avere ruoli Admin attraverso le attività di Facebook, come Modifica Messaggio o aggiungere nuovi membri.
Facebook ha gestito gli inviti e sono stati inviati ai messaggi degli utenti invitati Posta in arrivo e l'indirizzo e-mail dell'utente legato al conto. Che DeVoss scoperto era che lui potrebbe ottenere l'accesso alle e-mail di qualsiasi utente, non importa se era amico con loro o no. Le impostazioni di privacy dei conti non erano un ostacolo.
DeVoss inoltre scoperto che su di annullamento in attesa inviti degli utenti invitato ad essere amministratori di un problema tecnico successo. "Mentre Facebook attende la conferma, l'utente viene inoltrata ad una scheda della pagina Ruoli che include un pulsante per annullare la richiesta,"ha ha spiegato.
Avanti sulla sua lista è stato il passaggio a vista mobile di Facebook della scheda Pagina Ruoli dove poteva vedere l'indirizzo email completo di chiunque voleva per cancellare dal diventare un amministratore di gruppo su Facebook. Notò che facendo clic per annullare l'amministratore invito sulla pagina cellulare è stato reindirizzato a una pagina con l'indirizzo di posta elettronica nell'URL. Doveva solo cogliere la versione in chiaro dell'indirizzo di posta elettronica altrimenti indipendente direttamente dal URL. Ecco come questo sembra:
Qual è l'impatto del Bug Facebook?
L'impatto della vulnerabilità può variare. Per cominciare, la raccolta di indirizzi e-mail del genere contraddice sulla privacy di Facebook e potrebbe portare ad attacchi di phishing mirati e varie attività dannose.
Facebook ha confermato la falla non è stato sfruttato in natura. Una correzione è già stata realizzata per evitare che il problema venga sfruttato in futuro.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: