تكشف محاولات تسجيل الدخول الفاشلة إلى Facebook عن معلومات خاصة

• فئة: موقع التواصل الاجتماعي الفيسبوك

جرب أداة القضاء على المشاكل

حدد نظام التشغيل Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro اختر برنامج الإسقاط (اختياريا) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

صف مشكلتك

إحصل على جواب

أرسل لي عبر البريد الإلكتروني عرض على الموقع

لا يبدو أن Facebook يهدأ هذه الأيام عندما يتعلق الأمر بالخصوصية. اكتشف الباحث أتول أغاروال خطأً جديدًا يوم الأربعاء ، والذي سمح لأي شخص بمطابقة عنوان بريد إلكتروني مع اسم مستخدم فيسبوك وصورة ملفه الشخصي.

صمم Facebook عملية تسجيل الدخول لتوفير معلومات إضافية للمستخدم إذا كانت تركيبة البريد الإلكتروني وكلمة المرور المستخدمة لتسجيل الدخول غير متطابقة.

بدلاً من مجرد عرض تحذير بأن معلومات تسجيل الدخول غير صحيحة ، ذهب Facebook خطوة أخرى إلى الأمام وعرض معلومات 'تسجيل الدخول باسم' على الصفحة. وشمل ذلك صورة الملف الشخصي للمستخدم والاسم الكامل بغض النظر عن إعدادات الخصوصية لهذا المستخدم على Facebook.

وصف أتول المشكلة بالتفصيل يوم قوائم :

في وقت ما ، لاحظت مشكلة غريبة في Facebook ، فقد أدخلت عن طريق الخطأ كلمة مرور خاطئة في Facebook ، وأظهر اسمي الأول والأخير مع صورة الملف الشخصي ، إلى جانب رسالة كلمة المرور غير الصحيحة. اعتقدت أن حقيقة أنه كان يعرض الاسم له علاقة بملفات تعريف الارتباط المخزنة ، لذلك جربت معرف بريد إلكتروني آخر ، وكان الأمر نفسه. تساءلت عن الاحتمالات ، وكتبت أداة POC لاختبارها.

يقوم هذا البرنامج النصي باستخراج الاسم الأول واسم العائلة (المقدم من المستخدمين عند التسجيل في Facebook). Facebook لطيف بما يكفي لإعادة الاسم حتى إذا كانت تركيبة البريد الإلكتروني / كلمة المرور المقدمة خاطئة. علاوة على ذلك ، هو أيضا
يعطي صورة الملف الشخصي (هذا النص لا يحصدها ، ولكن من السهل إضافتها أيضًا). لا يتحكم مستخدمو Facebook في ذلك ، حيث يعمل هذا حتى عندما تقوم بتعيين جميع إعدادات الخصوصية بشكل صحيح. يعد حصاد هذه البيانات أمرًا سهلاً للغاية ، حيث يمكن تجاوزه بسهولة باستخدام مجموعة من البروكسيات.

تم إصلاح المشكلة في وقت قياسي بواسطة Facebook. ومع ذلك فإنه يعني ذلك
كانت مشكلة الخصوصية قابلة للاستغلال من قبل الجميع ، بما في ذلك المستخدمين الذين ليس لديهم حساب على Facebook ، حتى تم تطبيق الإصلاح.

بلغة إنجليزية بسيطة ، تمكن أي شخص اكتشف المشكلة من ربط عناوين البريد الإلكتروني بالأسماء الحقيقية وصور الملف الشخصي على Facebook ، حتى بدون حساب.

ربما استخدم المهاجمون المخصصون الأتمتة لاستخراج المعلومات بشكل مجمّع من Facebook.

أظهر إثبات رمز المفهوم الذي كتبه أتول أن المستخدمين الخبثاء ربما استغلوا المشكلة لإنشاء قاعدة بيانات ضخمة لعناوين البريد الإلكتروني المرتبطة والأسماء الكاملة ، والتي قد تكون كارثية إذا تم استخدامها في حملات التصيد الاحتيالي أو الاستخدامات الضارة الأخرى.