Facebook Gặp Lỗ Hổng Mới Khi Liên Kết Tài Khoản Với Email | ITIGIC

Thứ Ba tuần này, một nhà nghiên cứu an ninh mạng đã xuất bản một video cho thấy một công cụ có tên là Tìm kiếm email trên Facebook v1.0 , mà bạn có thể khám phá bất kỳ tài khoản Facebook nào liên kết với một e-mail . Tất cả những gì bạn cần làm là nhập địa chỉ email và tài khoản Facebook của bạn sẽ được trả lại cho chúng tôi.

Biết tài khoản Facebook của một người chỉ với email của họ

Lỗi là vẫn hoạt động trên Facebook và nhà nghiên cứu đã quyết định công bố nó sau khi Facebook tuyên bố rằng lỗ hổng này không quan trọng và thậm chí không đáng để sửa. Sau khi công bố video, công ty đã thừa nhận rằng có vẻ như họ đã “đóng cuộc điều tra sớm do nhầm lẫn trước khi giao nó cho nhóm thích hợp.” Sau đó, họ khẳng định đang làm việc để giải quyết lỗ hổng xuất hiện trong video chưa được công bố để ngăn chặn cuộc tấn công nhân rộng.

Vào đầu năm, Facebook đã sửa một lỗ hổng với cơ chế giống hệt lỗ hổng này, nhưng trong trường hợp thứ hai này, họ quyết định không sửa nó. Lỗi nằm ở giao diện người dùng của nền tảng, nhưng họ chưa cung cấp thêm thông tin chi tiết về nó. Nhà nghiên cứu đã thử nghiệm thành công công cụ này, hiện đang được phân phối giữa các cộng đồng hack khác nhau. Trong số các cách sử dụng đang được thực hiện là do thám các nhóm Facebook đang cố gắng kiểm soát các tài khoản có email lừa đảo, cũng như các tài khoản quảng cáo Facebook để lấy tiền.

Có thể liên kết 5 triệu tài khoản với email mỗi ngày

Nhà nghiên cứu đã mua 250 tài khoản Facebook mới đăng ký với giá 10 đô la, và có thể xem bằng cách nhập 65,000 email, anh ta thu được kết quả như thế nào cho một phần lớn trong số đó. Như anh ta đã tính toán, có thể làm điều này cho 5 triệu tài khoản email mỗi ngày .

Facebook đã nhấn mạnh trong những năm gần đây để phân biệt giữa các kỹ thuật cạo và hack như vậy. Scraping là thứ mà họ đã cho phép trong nhiều năm, nơi thông qua API của họ có thể thu thập dữ liệu công khai và không công khai từ hồ sơ người dùng, chẳng hạn như tên, lượt thích, sở thích, v.v. Thông qua các lỗ hổng, có thể biết được số điện thoại và trong trường hợp này cũng có thể biết các tài khoản được liên kết với mỗi email. Vì vậy, nó không phải là về việc cạo, mà là về lỗ hổng trong tất cả các bức thư của họ.

Phương tiện DataNews đã có quyền truy cập vào một email nội bộ của Facebook, trong đó công ty đã thông báo với nhân viên của mình rằng họ hy vọng rằng trong tương lai sẽ có những trường hợp gây tranh cãi mới liên quan đến việc sử dụng các kỹ thuật cạo. Và không nghi ngờ gì nữa, lỗ hổng này sẽ dẫn đến việc tạo ra các cơ sở dữ liệu mới. Nếu bạn không sử dụng tài khoản của mình, đây có thể là thời điểm tốt để hủy đăng ký khỏi Facebook.

Vì vậy, với lỗi này, bây giờ có thể phát hiện ra tài khoản Facebook nào được liên kết với mỗi email. Nếu chúng tôi kết hợp dữ liệu này với sự rò rỉ của một vài tuần trước, bây giờ có thể biết email, họ tên và số điện thoại của một người, cũng như tương ứng của họ ID tài khoản.