hahanovB
12.08.2015, 22:23
http://s010.radikal.ru/i311/1508/6b/9cd0e268da3c.jpg
Специалист по безопасности Реза Мояндин (Reza Moaiandin, на фото) уже несколько месяцев добивается от Facebook (https://salt.agency/blog/facebook-security-loophole/) исправления настроек безопасности на сайте. По его мнению и по словам других независимых специалистов, нынешние настройки по умолчанию некорректно раскрывают конфиденциальную информацию пользователей без их ведома.
Проблема в том, что поиск людей в Facebook осуществляется не только по имени, но еще по телефону и адресу электронной почты. При этом поиск возможен даже в том случае, если пользователь скрыл от показа эти поля в своем профиле.
Facebook не считает это багом. В настройках конфиденциальности есть специальный раздел «Кто может меня найти? (https://www.facebook.com/help/131297846947406)». Там для каждого параметра указывается аудитория, которой разрешено находить пользователя по данному параметру. Проблема в том, что по умолчанию в данном разделе нет никаких ограничений, так что поиск по телефону и адресу электронной почты работает даже если эти параметры скрыты от показа в профиле.
Реза Мояндин написал скрипт (https://salt.agency/blog/facebook-security-loophole/), которые обращается к Facebook API и перебирает все номера подряд. Таким образом, например, можно составить базу с именами и телефонными номерами почти всех пользователей из определенной страны (даже с фотографиями). Кроме тех немногих, кто все-таки зашел и исправил баг в настройках конфиденциальности.
http://s010.radikal.ru/i311/1508/e7/81dac902a01a.jpg
Компания Facebook уже ответила хакеру, что не считает это багом. Во-первых, в настройках конфиденциальности есть соответствующий раздел, как уже было сказано. Во-вторых, в Facebook работают специальные сетевые программы, которые отслеживают подозрительные обращения к API и блокируют запросы в случае массового сбора данных.
Специалист сообщил об уязвимости в Facebook еще в апреле 2015 года, но сотрудник отдела безопасности объяснил ему, что это не баг, а фича, так что на вознаграждение рассчитывать не приходится.
Источник: https://xakep.ru/2015/08/12/facebook-search/
Специалист по безопасности Реза Мояндин (Reza Moaiandin, на фото) уже несколько месяцев добивается от Facebook (https://salt.agency/blog/facebook-security-loophole/) исправления настроек безопасности на сайте. По его мнению и по словам других независимых специалистов, нынешние настройки по умолчанию некорректно раскрывают конфиденциальную информацию пользователей без их ведома.
Проблема в том, что поиск людей в Facebook осуществляется не только по имени, но еще по телефону и адресу электронной почты. При этом поиск возможен даже в том случае, если пользователь скрыл от показа эти поля в своем профиле.
Facebook не считает это багом. В настройках конфиденциальности есть специальный раздел «Кто может меня найти? (https://www.facebook.com/help/131297846947406)». Там для каждого параметра указывается аудитория, которой разрешено находить пользователя по данному параметру. Проблема в том, что по умолчанию в данном разделе нет никаких ограничений, так что поиск по телефону и адресу электронной почты работает даже если эти параметры скрыты от показа в профиле.
Реза Мояндин написал скрипт (https://salt.agency/blog/facebook-security-loophole/), которые обращается к Facebook API и перебирает все номера подряд. Таким образом, например, можно составить базу с именами и телефонными номерами почти всех пользователей из определенной страны (даже с фотографиями). Кроме тех немногих, кто все-таки зашел и исправил баг в настройках конфиденциальности.
http://s010.radikal.ru/i311/1508/e7/81dac902a01a.jpg
Компания Facebook уже ответила хакеру, что не считает это багом. Во-первых, в настройках конфиденциальности есть соответствующий раздел, как уже было сказано. Во-вторых, в Facebook работают специальные сетевые программы, которые отслеживают подозрительные обращения к API и блокируют запросы в случае массового сбора данных.
Специалист сообщил об уязвимости в Facebook еще в апреле 2015 года, но сотрудник отдела безопасности объяснил ему, что это не баг, а фича, так что на вознаграждение рассчитывать не приходится.
Источник: https://xakep.ru/2015/08/12/facebook-search/