失败的Facebook登录尝试显示私人信息
- 类别: 脸书
这些天来,Facebook在隐私方面似乎并没有休息。研究人员Atul Agarwal周三发现了一个新错误,该错误使任何人都可以将电子邮件地址与Facebook用户的姓名和个人资料图片进行匹配。
如果登录时使用的电子邮件和密码组合不匹配,Facebook将登录过程设计为向用户提供其他信息。
Facebook不仅显示警告信息,指出登录信息不正确,更进一步,并在页面上显示“登录为”信息。这包括用户的个人资料照片和全名,无论该用户在Facebook上的隐私设置如何。
Atul详细描述了该问题 选帝侯 :
有时,我注意到Facebook出现了一个奇怪的问题,我不小心在Facebook中输入了错误的密码,它显示了我的名字和姓氏以及个人资料图片,以及密码不正确的消息。我以为显示名称的事实与存储的Cookie有关,因此我尝试了其他电子邮件ID,并且相同。我想知道这种可能性,并编写了一个POC工具对其进行测试。
该脚本提取名字和姓氏(由用户注册Facebook时提供)。即使提供的电子邮件/密码组合错误,Facebook也足够返回名称。更进一步,它也
给出个人资料图片(此脚本不会收获它,但是也很容易添加它)。 Facebook用户对此无能为力,因为即使您正确设置了所有隐私设置,此功能也仍然有效。收集这些数据非常容易,因为可以使用大量代理轻松绕过它。
Facebook已在创纪录的时间内修复了该问题。但是,这确实意味着
在应用此修复程序之前,所有人(包括没有Facebook帐户的用户)都可以利用隐私问题。
用简单的英语,发现该问题的任何人都可以将电子邮件地址链接到Facebook上的真实姓名和个人资料照片,即使没有帐户也是如此。
专用攻击者可能已使用自动化从Facebook大量提取信息。
Atul编写的概念证明代码表明,恶意用户可能已经利用此问题创建了一个链接电子邮件地址和全名的庞大数据库,如果用于网络钓鱼活动或其他恶意用途,则可能会造成灾难性的后果。