لا يزال عملاق وسائل التواصل الاجتماعي يجري تنفيذه من عائلة رقم الهاتف التي تضم 500 مليون مستخدم على Facebook الشهر الماضي ، ولديه أزمة خصوصية جديدة: أداة تتيح حسابات Facebook واسعة النطاق المرتبطة بعناوين البريد الإلكتروني ، حتى عندما يختار المستخدمون الإعدادات لمنعها منهم من أن تكون عامة.
أظهر مقطع فيديو نُشر يوم الثلاثاء باحثًا يعرض أداة تسمى Facebook Email Search v1.0 ، والتي قال إنها يمكن أن تربط حسابات Facebook بحوالي 5 ملايين عنوان بريد إلكتروني يوميًا.الباحث – الذي قال إنه تم نشره بعد Facebook قال إنه لا يفكر الضعف الذي وجده “مهمًا” بدرجة كافية لإصلاحه – أدخل قائمة أدوات تضم 65000 عنوان بريد إلكتروني وشاهد أدناه.
“كما ترون من مهارة الإخراج هنا ، أحصل على قدر كبير من النتائج منها ،” قال الباحث بينما أظهر الفيديو الأداة تمزيق قائمة العناوين. “لقد أنفقت ربما 10 دولارات لشراء 200 حساب غريب على Facebook. وفي غضون ثلاث دقائق تمكنت من القيام بذلك مقابل 6000 دولار. [email] حسابات.”
حصل Venom على الفيديو بشرط عدم مشاركة الفيديو. يظهر نص صوتي كامل في نهاية هذا المنشور.
يسقط الكرة
قال منشور على Facebook: “يبدو أننا أغلقنا تقرير وفرة الأخطاء عن طريق الخطأ قبل الانتقال إلى الفريق المناسب. نحن نقدر مشاركة الباحث للمعلومات واتخاذ الإجراءات الأولية لتسهيل هذه المشكلة بينما نفهم نتائجهم بشكل أفضل.”
لم يرد ممثل Facebook على سؤال حول ما إذا كانت الشركة قد أبلغت المحقق أنها لا تعتبر الثغرة الأمنية مهمة بما يكفي لتبرير الإصلاح. قال المندوب إن مهندسي فيسبوك يعتقدون أنهم أداروا التسريب من خلال تعطيل التقنية الموضحة في الفيديو.
قال المحقق ، الذي وافق آريس على عدم الكشف عن هويته ، إن البحث في البريد الإلكتروني على Facebook استغل ثغرة أمامية تم الإبلاغ عنها مؤخرًا إلى Facebook ولكنهم ” [Facebook] لا تفكر في أن تكون مهمًا بما يكفي لتكون لحافًا مرقعًا. “في وقت سابق من هذا العام ، كان لدى Facebook ثغرة أمنية مماثلة تم إصلاحها في النهاية.
يقول الباحث: “إنها في الأساس نفس الثغرة الأمنية”. “ولسبب ما ، على الرغم من أنني أوضحت ذلك لـ Facebook وعرفتهم به ، فقد أخبروني بشكل مباشر أنهم لن يتخذوا أي إجراء ضده”.
على تويتر
تعرض موقع Facebook للنيران ليس فقط لتوفير الوسائل لمجموعات البيانات الهائلة هذه ، ولكن أيضًا بسبب الطريقة التي يحاول بها بنشاط الترويج لفكرة أنها تسبب الحد الأدنى من الضرر لمستخدمي Facebook. رسالة بريد إلكتروني أرسلها Facebook عن طريق الخطأ إلى مراسل في إعلان هولندي داتا نيوز أوعز إلى العاملين في مجال العلاقات العامة بـ “تأطير هذا باعتباره قضية واسعة النطاق وتطبيع حقيقة أن هذا النشاط يحدث على أساس منتظم”. يميز Facebook أيضًا بين الحكة والاقتحام أو السطو.
ليس من الواضح ما إذا كان أي شخص قد استفاد بنشاط من هذا الخطأ لبناء قاعدة بيانات ضخمة ، لكن ذلك لن يكون مفاجئًا بالتأكيد. وقال المحقق “أعتقد أن هذه نقطة ضعف خطيرة إلى حد ما ، وأود المساعدة في وقفها”.
هذا هو النص المكتوب للفيديو:
لذا ، ما أود أن أوضحه هنا هو وجود ثغرة أمنية نشطة داخل Facebook ، والتي تسمح للمستخدمين الخبثاء بالاستعلام عن عناوين البريد الإلكتروني داخل Facebook وإعادة Facebook ، أي مستخدم متوافق.
إنه يعمل مع ثغرة أمامية مع Facebook ، والتي أبلغت عنها ، وجعلتهم يدركون ، أممم ، أنهم لا يرون أهمية كافية ليتم تصحيحها ، آه ، وأنني سأعتبرها مهمة جدًا ، آه ، خرق كبير للخصوصية مشكلة.
هذه الطريقة قيد الاستخدام حاليًا بواسطة البرامج ، وهي متوفرة الآن في مجتمع القرصنة.
يتم استخدامه حاليًا لاختراق حسابات فيسبوك بغرض الاستيلاء على مجموعات الصفحات وأه حسابات إعلانات فيسبوك من أجل مكاسب مالية واضحة. أممم ، لقد قمت بتعيين هذا المثال المرئي بدون أي JS.
ما فعلته هنا هو أنني أخذت أه 250 حسابًا على فيسبوك مسجلة حديثًا على فيسبوك اشتريتها عبر الإنترنت بحوالي 10 دولارات.
سألت إذا كان بإمكاني العثور على 65000 عنوان بريد إلكتروني ، وكما ترون من مهارة الإخراج هنا ، أحصل على قدر كبير من النتائج منهم.
إذا نظرت إلى ملف الإخراج ، يمكنك أن ترى أن لدي اسم مستخدم وعنوان بريد إلكتروني يتطابقان مع عناوين البريد الإلكتروني للتسجيل التي استخدمتها. الآن ، كما قلت ، أنفقت ربما 10 دولارات باستخدام اثنين لشراء 200 حساب غريب على Facebook. وفي غضون ثلاث دقائق تمكنت من القيام بذلك لـ 6000 حساب.
لقد اختبرت هذا على نطاق أوسع ، ويمكن استخدامه لاستخراج ما يصل إلى 5 ملايين عنوان بريد إلكتروني ربما كل يوم.
الآن كانت هناك ثغرة أمنية موجودة في Facebook ، آه ، في وقت سابق من هذا العام ، تم إصلاحها. هذا هو في الأساس نفس الضعف. ولسبب ما ، على الرغم من أنني أوضحت ذلك لـ Facebook وعرفتهم به ، فقد أخبروني بشكل مباشر أنهم لن يتخذوا أي إجراء ضده.
لذا أتواصل مع أشخاص مثلك ، آه ، آمل أن تتمكن من استخدام نفوذك أو جهات الاتصال الخاصة بك لإيقاف ذلك ، لأنني واثق جدًا جدًا.
هذا ليس فقط انتهاكًا كبيرًا للخصوصية ، بل سيؤدي إلى حالة بيانات جديدة كبيرة أخرى ، بما في ذلك رسائل البريد الإلكتروني ، والتي ستسمح للأطراف غير المرغوب فيها ليس فقط باستلامها ، أه ، البريد الإلكتروني لتخصيص المعرفات ، ولكن لإضافة عنوان البريد الإلكتروني إلى الهاتف الأرقام التي كانت متوفرة في المخالفات السابقة أه أنا سعيد جدًا لإثبات ضعف الواجهة النهائية حتى تتمكن من معرفة كيفية عملها.
لن أعرضه في هذا الفيديو لمجرد أنني لا أريد أن يكون الفيديو كذلك ، لا أريد أن يتم استخدام الطريقة ، ولكن إذا كنت سعيدًا جدًا ، أظهرها ، أممم ، إذا كان ذلك ضروريًا ، ولكن كما ترى ، يمكنك مشاهدة إنتاج المزيد والمزيد والمزيد. أعتقد أن هذه نقطة ضعف خطيرة جدًا وأود المساعدة في إيقافها.
