Новый инструмент массово вычисляет профили пользователей Facebook по емейлу — даже если он скрыт
Motherboard и Ars Technica рассказали о новой дыре в безопасности Facebook. Исследователь, пожелавший остаться анонимным, продемонстрировал работу инструмента, который сопоставляет адреса электронной почты с учётными записями в соцсети — ему не мешает даже то, что видимость емейла для широкой аудитории может быть ограничена в настройках.
Исследователь сообщил Facebook о frontend-уязвимости, которую эксплуатирует утилита, но та не посчитала её достаточно важной и ответила, что не будет ничего предпринимать. Позже компания сказала, что по ошибке закрыла репорт, не передав ответственной команде, и исправляет проблему.
Кофаундер компании по кибербезопасности Hudson Rock Элон Гэл опубликовал видеоролик, которым с ним поделился исследователь. ИБ-специалист Ашкан Солтани выложил её расшифровку, где автор рассказывает, что за день утилита Facebook Email Search v1.0 обрабатывает 5 млн почтовых адресов. На видео исследователь для примера скормил инструменту 65 тысяч адресов, который на выходе связывает их с пользовательскими ID и именами.
По его словам, инструмент гуляет по хакерским группам, а злоумышленники с помощью него атакуют владельцев корпоративных «Страниц Facebook» и рекламные аккаунты с целью вымогательства.
В Facebook считают, что решили вопрос, закрыв метод, показанный на видео. В начале этого года у соцсети вскрылась схожая уязвимость, которую в конечном счёте устранили. Исследователь утверждает, что, по сути, это та же самая проблема, и она опасна тем, что может привести к сливам новых баз данных или использоваться для привязки к емейлам телефонных номеров из прежних утечек.
Читать на dev.by