Facebookのバグは、セキュリティ研究者でありバグハンターであるTommyDeVossによって発見されました。 $5,000. この欠陥により、彼はソーシャルメディアの任意のユーザーのプライベートメールアドレスを表示することができました. さらに, このハッキングにより、彼はできるだけ多くのメールアドレスを収集することができました。, プライベートユーザーが自分をどう思っているかに関係なく.
バグハンターは感謝祭の脆弱性に遭遇し、Facebookのバグ報奨金プログラムに報告しました. 欠陥を確認し、研究者に賞を支払うために会社は数週間かかりました $5,000.
関連している: 単純なHTMLエクスプロイトに対して脆弱なFacebookMessengerアプリとチャット
Facebookのバグの説明
バグは ユーザー生成のFacebookグループ機能 これにより、ユーザーはプラットフォーム上にアフィニティグループを作成できます. 研究者は、グループの管理者であるため、投稿の編集や新しいメンバーの追加などのFacebookのアクティビティを介して、Facebookメンバーを管理者の役割に招待できることを発見しました。.
Facebookが招待を処理し、招待されたユーザーのメッセージ受信ボックスとアカウントに関連付けられたユーザーの電子メールアドレスに送信されました。. DeVossが発見したのは、ユーザーが友達であるかどうかに関係なく、どのユーザーのメールアドレスにもアクセスできるということでした。. アカウントのプライバシー設定は障害ではありませんでした.
DeVossはさらに、管理者に招待されたユーザーの保留中の招待をキャンセルすると、グリッチが発生したことを発見しました. 「「Facebookが確認を待っている間, ユーザーは、リクエストをキャンセルするためのボタンを含む[ページの役割]タブに転送されます," 彼 説明.
彼のリストの次は Facebookの[ページの役割]タブのモバイルビュー Facebookグループの管理者になることをキャンセルしたい人の完全なメールアドレスを表示できる場所. 彼は、モバイルページで管理者の招待をキャンセルするためにクリックすると、URLに電子メールアドレスが含まれるページにリダイレクトされることに気づきました。. 彼はただしなければならなかった それ以外の場合はプライベートメールアドレスのプレーンテキストバージョンをURLから直接取得します. これは次のようになります:
Facebookのバグの影響は何ですか?
脆弱性の影響は異なる場合があります. そもそも, そのような電子メールアドレスを収集すると、Facebookのプライバシーポリシーと矛盾し、標的型フィッシング攻撃やさまざまな悪意のある活動につながる可能性があります.
Facebookは、この欠陥が実際には活用されていないことを確認しました. この問題が将来悪用されるのを防ぐための修正がすでに実装されています.