memo-x

Berita, komentar, dan fitur terbaru dari The Memo X

Kuatkan dirimu. Facebook memiliki kebocoran besar baru di tangannya

Raksasa media sosial itu masih merasa pintar membuang nomor telepon untuk 500 juta pengguna Facebook bulan lalu, dan menghadapi krisis privasi baru yang harus dihadapi: alat yang secara luas menautkan akun Facebook yang ditautkan ke alamat email, bahkan ketika pengguna memilih pengaturan untuk mencegahnya. Untuk menjadi publik.

Sebuah video yang beredar pada hari Selasa menunjukkan seorang peneliti menghadirkan alat bernama Facebook Email Search v1.0, yang katanya dapat menautkan akun Facebook hingga 5 juta alamat email per hari. Peneliti – yang mengatakan itu go public setelah Facebook mengatakan tidak menganggap kerentanan yang ditemukannya cukup “penting” untuk memperbaikinya – menyediakan alat dengan daftar 65.000 alamat email dan memantau apa yang terjadi selanjutnya.

“Seperti yang Anda lihat dari log keluaran di sini, saya mendapatkan banyak hasil darinya,” kata peneliti saat video menunjukkan alat yang merusak daftar judul. “Saya menghabiskan mungkin $ 10 untuk membeli 200 akun Facebook individu. Dalam tiga menit, saya bisa melakukannya untuk 6000 [email] Akun. “

Ars mendapatkan video tersebut dengan syarat video tersebut tidak dibagikan. Transkrip audio lengkap muncul di akhir posting ini.

Jatuhkan bolanya

Dalam sebuah pernyataan, Facebook mengatakan: “Tampaknya kami telah menutup laporan hadiah kesalahan ini secara tidak sengaja sebelum mengarahkannya ke tim yang sesuai. Kami menghargai pembagian informasi oleh peneliti dan mengambil tindakan awal untuk mengurangi masalah ini sambil menindaklanjuti untuk lebih memahami temuan. “

Perwakilan Facebook tidak menanggapi pertanyaan yang menanyakan apakah perusahaan telah memberi tahu peneliti bahwa mereka tidak menganggap kerentanan cukup penting untuk menjamin perbaikan. Aktor itu mengatakan insinyur Facebook yakin mereka mengurangi kebocoran dengan mengganggu teknologi yang ditunjukkan dalam video.

Peneliti, yang identitasnya Ars setuju untuk tetap anonim, mengatakan Pencarian Email Facebook mengeksploitasi kelemahan keamanan di front end yang baru-baru ini dilaporkan Facebook tetapi itu ” [Facebook] Anda tidak menganggapnya cukup penting untuk dikoreksi. Awal tahun ini, Facebook memiliki kerentanan serupa yang akhirnya diperbaiki.

“Ini adalah kelemahan yang persis sama,” kata peneliti. “Dan untuk beberapa alasan, meskipun saya menjelaskan hal ini kepada Facebook dan membuat mereka peka terhadapnya, mereka langsung mengatakan kepada saya bahwa mereka tidak akan mengambil tindakan apa pun terhadapnya.”

Di Twitter

Facebook telah dikritik tidak hanya karena menyediakan sarana untuk kumpulan data yang sangat besar ini, tetapi juga karena caranya secara aktif mempromosikan gagasan bahwa hal itu menyebabkan kerugian minimal bagi pengguna Facebook. Email yang secara tidak sengaja dikirim Facebook ke seorang reporter di kiriman Belanda Berita Data Dia menginstruksikan praktisi PR untuk “membingkai ini sebagai masalah industri skala besar dan menormalkan fakta bahwa kegiatan ini berlangsung secara teratur.” Facebook juga membedakan antara scraping dan hacking atau hacking.

Tidak jelas apakah ada orang yang secara efektif memanfaatkan bug ini untuk membangun database yang sangat besar, tetapi ini seharusnya tidak mengejutkan. “Saya pikir ini adalah kelemahan yang sangat serius, dan saya ingin membantu mencegahnya,” kata peneliti.

Ini adalah transkrip untuk video tersebut:

Jadi, yang ingin saya jelaskan di sini adalah kerentanan keamanan aktif di dalam Facebook, yang memungkinkan pengguna jahat untuk menanyakan alamat email di dalam Facebook dan mengembalikan Facebook dan pengguna yang cocok.

Um, ini bekerja dengan kelemahan keamanan di bagian depan Facebook, yang saya informasikan kepada mereka, dan membuat mereka menyadari, um, bahwa mereka tidak dianggap cukup penting untuk diperbaiki, eh, yang saya anggap sangat kategoris, eh , pelanggaran privasi, dan masalah besar.

Metode ini saat ini digunakan oleh perangkat lunak, yang saat ini tersedia di komunitas peretasan.

Saat ini digunakan untuk memecahkan akun Facebook dengan tujuan mengambil alih grup halaman dan eh, akun iklan Facebook untuk keuntungan finansial yang jelas. Hmmm, saya membuat contoh visual ini tanpa JS.

Apa yang saya lakukan di sini adalah saya mengambil, uh, 250 akun Facebook, akun Facebook yang baru saya daftarkan, yang saya beli secara online seharga sekitar $ 10.

Saya telah menanyakan atau menanyakan sekitar 65.000 alamat email. Dan seperti yang Anda lihat dari log keluaran di sini, saya mendapatkan cukup banyak hasil dari mereka.

Jika Anda melihat file keluaran, Anda dapat melihat Saya memiliki nama pengguna dan alamat email yang cocok dengan alamat email yang dimasukkan, yang saya gunakan. Sekarang saya, seperti yang saya katakan, mungkin menghabiskan $ 10 menggunakan dua untuk membeli 200 akun Facebook individu. Dan dalam tiga menit, saya dapat melakukan ini untuk 6000 akun.

Saya telah menguji ini dalam skala yang lebih besar, dan ini dapat digunakan untuk mengekstrak hingga 5 juta alamat email per hari.

Sekarang ada lubang keamanan dengan Facebook uh awal tahun ini yang telah diperbaiki. Ini pada dasarnya adalah kelemahan yang sama. Dan untuk beberapa alasan, meskipun saya menjelaskan hal ini kepada Facebook dan membuat mereka peka terhadapnya, mereka memberi tahu saya secara langsung bahwa mereka tidak akan mengambil tindakan apa pun terhadapnya.

Jadi saya menjangkau orang-orang seperti Anda dengan harapan Anda dapat menggunakan pengaruh atau koneksi Anda untuk menghentikan ini, karena saya sangat, sangat percaya diri.

Hal ini tidak hanya merupakan pelanggaran privasi yang besar, tetapi juga akan mengakibatkan pembuangan data baru yang sangat besar, termasuk email, yang akan memungkinkan pihak yang tidak diinginkan untuk tidak hanya mendapatkan email ini cocok dengan ID pengguna, tetapi juga menambahkan alamat email ke nomor telepon. ., Yang tersedia di pelanggaran sebelumnya, saya sangat senang membuktikan kerentanan front end sehingga Anda dapat melihat cara kerjanya.

Saya tidak akan menampilkannya dalam video ini hanya karena saya tidak ingin videonya seperti itu, saya tidak ingin metodenya dieksploitasi, tetapi jika saya akan sangat senang, buktikan , um, jika perlu, tetapi seperti yang Anda lihat, Anda dapat terus menampilkan lebih banyak dan lebih banyak lagi.. Saya pikir itu adalah kelemahan yang sangat serius dan saya ingin membantu menghentikannya.

READ  Anda mungkin tidak ingin menyia-nyiakan ongkos untuk tradisi murah ini