Intents de connexió a Facebook errats. Desvetlla informació privada

No sembla que Facebook arribi a descansar aquests dies quan es tracta de privadesa. L'investigador Atul Agarwal va descobrir dimecres un nou error, que permetia que qualsevol persona coincidís una adreça de correu electrònic amb el nom i la imatge de perfil d'un usuari de Facebook.

Facebook ha dissenyat el procés d’inici de sessió per proporcionar informació addicional a l’usuari si la combinació de correu electrònic i contrasenya que s’utilitza per iniciar la sessió no coincideixen.

En lloc de només mostrar un avís de que la informació de registre no era correcta, Facebook va fer un pas més i va mostrar la informació de 'Inici de sessió' a la pàgina. Inclou la foto de perfil de l'usuari i el nom complet, independentment de la configuració de privadesa de l'usuari a Facebook.

Atul va descriure detalladament el problema Llistes llistes :

Enrere, vaig notar un estrany problema amb Facebook, vaig introduir una contrasenya errònia a Facebook i em va mostrar el nom i cognoms amb la imatge de perfil, juntament amb el missatge incorrecte amb la contrasenya. Vaig pensar que el fet que es mostrés el nom tenia alguna cosa a veure amb les cookies emmagatzemades, així que vaig provar altres identificadors de correu electrònic i va ser el mateix. Em vaig preguntar sobre les possibilitats i vaig escriure una eina POC per provar-la.

Aquest script extreu el nom i el cognom (proporcionats pels usuaris quan s’inscriuen a Facebook). Facebook és prou amè per retornar el nom, fins i tot si la combinació de correu electrònic i contrasenya subministrada és incorrecta. Més encara, també
proporciona la imatge del perfil (aquest script no la cull, però és fàcil afegir-la també). Els usuaris de Facebook no tenen cap control sobre això, ja que funciona fins i tot quan heu definit correctament tota la configuració de privadesa. La recol·lecció d’aquestes dades és molt fàcil, ja que es pot obviar fàcilment mitjançant un munt de proxies.

facebook login privacy
privadesa d’inici de sessió de facebook

El problema ha estat solucionat en temps rècord per Facebook. Tot i així vol dir que
el problema de privadesa va ser explotable per a tothom, inclosos els usuaris sense compte de Facebook, fins que s’havia aplicat la correcció.

En anglès, qualsevol persona que descobrís el problema va poder enllaçar adreces de correu electrònic a noms reals i fotos de perfil a Facebook, fins i tot sense tenir-ne un compte.

És possible que els atacants dedicats hagin utilitzat l'automatització per extreure informació de forma massiva de Facebook.

La prova del codi de concepte que va escriure Atul demostrava que els usuaris maliciosos podrien haver explotat el problema per crear una enorme base de dades d’adreces de correu electrònic i noms complets, que podrien ser desastrosos si s’utilitzen en campanyes de pesca o altres usos maliciosos.