استعد. فيسبوك لديه تسريب ضخم جديد بين يديه

يواجه عملاق وسائل التواصل الاجتماعي أزمة خصوصية جديدة: أداة تربط حسابات فيسبوك المرتبطة بعناوين البريد الإلكتروني ، على نطاق واسع ، حتى عندما يختار المستخدمون الإعدادات لمنعها. منهم من أن تكون عامة.

أظهر مقطع فيديو نُشر يوم الثلاثاء باحثًا يعرض أداة تسمى Facebook Email Search v1.0 ، والتي قال إنها يمكن أن تربط حسابات Facebook بما يصل إلى 5 ملايين عنوان بريد إلكتروني يوميًا. الباحث – الذي قال إنه ظهر للجمهور بعد أن قال Facebook إنه لا يعتقد أن الضعف الذي وجده كان “مهمًا” بما يكفي لتصحيحه – قام بتزويد الأداة بقائمة من 65000 بريد إلكتروني ولاحظ ما حدث بعد ذلك.

“كما ترى في سجل الإخراج هنا ، أحصل على قدر كبير من النتائج ،” قال الباحث بينما أظهر الفيديو الأداة التي تعالج القائمة البريدية. “لقد أنفقت ربما 10 دولارات لشراء حوالي 200 حساب على Facebook. وفي ثلاث دقائق تمكنت من القيام بذلك مقابل 6000 [email] حسابات.”

حصل آرس على الفيديو بشرط عدم مشاركة الفيديو. يظهر نص صوتي كامل في نهاية هذه المقالة.

أسقط الكرة

في بيان ، قال Facebook ، “يبدو أننا أغلقنا تقرير مكافأة الخطأ هذا عن طريق الخطأ قبل إرساله إلى الفريق المناسب. نحن نقدر قيام الباحث بمشاركة المعلومات واتخاذ الخطوات الأولية للتخفيف من هذه المشكلة. أثناء المتابعة لفهمهم بشكل أفضل. النتائج. “

لم يرد ممثل Facebook على سؤال يسأل عما إذا كانت الشركة قد أخبرت الباحث أنها لا تعتبر الثغرة الأمنية كبيرة بما يكفي لتبرير العلاج. قال الممثل إن مهندسي Facebook اعتقدوا أنهم خففوا من التسرب من خلال تعطيل التقنية الموجودة في الفيديو.

قال الباحث ، الذي وافق آرس على عدم ذكر اسمه ، إن Facebook Email Search استغل ثغرة أمامية أبلغ عنها فيسبوك مؤخرًا ، لكنهم ” [Facebook] لا يعتبره مهمًا بدرجة كافية ليتم تصحيحه. في وقت سابق من هذا العام ، كان لدى Facebook ثغرة أمنية مماثلة تم إصلاحها في النهاية.

يقول الباحث: “إنها في الأساس نفس الثغرة الأمنية”. “ولسبب ما ، على الرغم من أنني أوضحت هذا لـ Facebook وشاركته معهم ، فقد أخبروني بشكل مباشر أنهم لن يتخذوا إجراءات ضده”.

على تويتر

تم انتقاد Facebook ليس فقط لتوفيره الوسائل لمجموعات البيانات الضخمة هذه ، ولكن أيضًا للطريقة التي يحاول بها بنشاط الترويج لفكرة أنها تسبب الحد الأدنى من الضرر لمستخدمي Facebook. تم إرسال بريد إلكتروني غير مقصود على Facebook إلى صحفي في المنشور الهولندي داتا نيوز طلب من مسؤولي العلاقات العامة “تصوير هذا على أنه مشكلة صناعية رئيسية وتوحيد أن هذا النشاط يحدث على أساس منتظم”. لقد ميز Facebook أيضًا بين الكشط والقرصنة أو الانتهاكات.

ليس من الواضح ما إذا كان أي شخص قد استغل هذا الخطأ بنشاط لإنشاء قاعدة بيانات ضخمة ، ولكن بالتأكيد لن يكون مفاجئًا. قال الباحث: “أعتقد أن هذه نقطة ضعف خطيرة للغاية ، وأود بعض المساعدة لإنهائها”.

هذا هو النص المكتوب للفيديو:

لذا ما أود أن أوضحه هنا هو وجود ثغرة أمنية نشطة داخل Facebook ، والتي تتيح للمستخدمين الخبثاء الاستعلام ، أه ، عناوين البريد الإلكتروني في Facebook وإعادة Facebook ، وجميع المستخدمين المتطابقين.

أم أنها تعمل مع ثغرة أمامية مع فيسبوك والتي أشرت إليها جعلتهم يدركون أه أنهم لا يعتبرون مهمًا بما يكفي لإصلاحه أه ما سأعتبره مهمًا جدًا أه ، انتهاك الخصوصية وصفقة كبيرة.

يتم استخدام هذه الطريقة حاليًا بواسطة البرامج ، والتي تتوفر الآن في مجتمع المتسللين.

حاليًا ، يتم استخدامه لخرق حسابات Facebook بغرض استعادة مجموعات من الصفحات وحسابات إعلانات Facebook لتحقيق مكاسب مالية واضحة. أم ، لقد نفذت هذا المثال المرئي في عدم وجود JS.

ما فعلته هنا أخذ أه 250 حسابًا على Facebook ، بعض حسابات Facebook المسجلة حديثًا ، والتي اشتريتها عبر الإنترنت بحوالي 10 دولارات.

أه ، لقد قمت بالتصويت أو أقوم باستقصاء 65000 عنوان بريد إلكتروني. وكما ترون من سجل الإخراج هنا ، فإنني أحصل على قدر كبير من النتائج منهم.

إذا نظرت إلى ملف الإخراج ، يمكنك أن ترى أن لدي اسم مستخدم وعنوان بريد إلكتروني يتطابقان مع عناوين البريد الإلكتروني المدخلة التي استخدمتها. الآن كما قلت إنني أنفقت ربما 10 دولارات باستخدام اثنين لشراء حوالي 200 حساب على Facebook. وفي غضون ثلاث دقائق ، تمكنت من القيام بذلك لـ 6000 حساب.

لقد اختبرت هذا على نطاق أوسع ومن الممكن استخدامه لاستخراج ما يصل إلى 5 ملايين عنوان بريد إلكتروني يوميًا.

الآن كانت هناك ثغرة موجودة في فيسبوك أه في وقت سابق هذا العام تم إصلاحها. هو في الأساس نفس الضعف. ولسبب ما ، على الرغم من أنني أوضحت ذلك لـ Facebook وشاركته معهم ، فقد أخبروني بشكل مباشر أنهم لن يتصرفوا ضده.

لذا أتواصل مع أشخاص مثلك ، أه ، على أمل أن تتمكن من استخدام نفوذك أو جهات الاتصال الخاصة بك لوقف هذا ، لأنني واثق جدًا جدًا.

إنه ليس فقط خرقًا ضخمًا للخصوصية ، ولكنه سينتج عنه تفريغ جديد آخر للبيانات الضخمة بما في ذلك رسائل البريد الإلكتروني التي ستسمح للأطراف غير المرغوب فيها ليس فقط بالحصول على مطابقات معرف المستخدم هذا ، ولكن إضافة عنوان البريد الإلكتروني إلى أرقام الهواتف ، والتي كان متاحًا في الخروقات السابقة ، آه ، أنا سعيد جدًا لإظهار ثغرة أمنية في الواجهة الأمامية حتى تتمكن من معرفة كيفية عملها.

لن أعرضه في هذا الفيديو فقط لأنني لا أريد أن يكون الفيديو ، آه ، لا أريد أن يتم استغلال الطريقة ، لكن إذا كنت سأكون سعيدًا جدًا لإثبات ذلك ، أه ، إذا إنه ضروري ، ولكن كما ترى يمكنك أن ترى أنه يستمر في إنتاج المزيد والمزيد. أعتقد أن هذه نقطة ضعف خطيرة جدًا وأود بعض المساعدة لوضع حد لها.