Connect with us

Hi, what are you looking for?

Headline

Bug Facebook Baru Mengekspos Jutaan Alamat Email

Bug Facebook Baru Mengekspos Jutaan Alamat Email

[ad_1]

Masih sakit hati bulan lalu dump nomor telepon milik 500 juta pengguna Facebook, raksasa media sosial ini menghadapi krisis privasi baru yang harus dihadapi: alat yang, dalam skala besar, menghubungkan akun Facebook dengan alamat email terkait, bahkan ketika pengguna memilih pengaturan agar tidak terlihat oleh publik.

Sebuah video yang beredar pada hari Selasa menunjukkan seorang peneliti mendemonstrasikan alat bernama Facebook Email Search v1.0, yang katanya bisa ditautkan Facebook akun ke sebanyak 5 juta alamat email per hari. Peneliti — yang mengatakan dia go public setelah Facebook mengatakan tidak menganggap kelemahan yang dia temukan cukup “penting” untuk diperbaiki — memberi alat daftar 65.000 alamat email dan mengamati apa yang terjadi selanjutnya.

“Seperti yang Anda lihat dari log keluaran di sini, saya mendapatkan hasil yang signifikan dari mereka,” kata peneliti saat video menunjukkan alat yang mengolah daftar alamat. “Saya telah menghabiskan mungkin $ 10 untuk membeli 200 akun Facebook. Dan dalam tiga menit, saya berhasil melakukan ini untuk 6.000 [email] akun.”

Ars memperoleh video tersebut dengan syarat video tersebut tidak boleh dibagikan. Transkrip audio lengkap muncul di akhir posting ini.

Dalam sebuah pernyataan, Facebook mengatakan: “Tampaknya kami secara keliru menutup laporan bug bounty ini sebelum mengarahkan ke tim yang sesuai. Kami menghargai peneliti yang membagikan informasi dan mengambil tindakan awal untuk mengurangi masalah ini sementara kami menindaklanjuti untuk lebih memahami mereka. temuan. “

Perwakilan Facebook tidak menanggapi pertanyaan yang menanyakan apakah perusahaan memberi tahu peneliti itu bahwa kerentanan itu tidak cukup penting untuk menjamin perbaikan. Perwakilan tersebut mengatakan insinyur Facebook yakin mereka telah mengurangi kebocoran dengan menonaktifkan teknik yang ditunjukkan dalam video.

Peneliti, yang setuju untuk tidak diidentifikasi oleh Ars, mengatakan bahwa Pencarian Email Facebook mengeksploitasi kerentanan front-end yang dia laporkan ke Facebook baru-baru ini tetapi “mereka [Facebook] tidak dianggap cukup penting untuk ditambal. “Awal tahun ini, Facebook memiliki kerentanan serupa yang akhirnya diperbaiki.

“Ini pada dasarnya adalah kerentanan yang sama persis,” kata peneliti. “Dan untuk beberapa alasan, meskipun saya mendemonstrasikan ini ke Facebook dan membuat mereka menyadarinya, mereka telah memberi tahu saya secara langsung bahwa mereka tidak akan mengambil tindakan terhadapnya.”

Advertisement. Scroll to continue reading.

Facebook telah mendapat kecaman tidak hanya karena menyediakan sarana untuk koleksi data yang sangat besar ini, tetapi juga karena secara aktif mempromosikan gagasan bahwa mereka menimbulkan risiko minimal bagi pengguna Facebook. Email yang secara tidak sengaja dikirim perusahaan ke reporter di terbitan Belanda DataNews menginstruksikan orang-orang PR untuk “membingkai ini sebagai masalah industri yang luas dan menormalkan fakta bahwa aktivitas ini terjadi secara teratur.” Facebook juga membuat perbedaan antara scraping dan hacks atau breaches.

Tidak jelas apakah ada yang secara aktif mengeksploitasi bug ini untuk membangun database besar-besaran, tetapi tentu tidak akan mengejutkan. “Saya yakin ini merupakan kerentanan yang cukup berbahaya, dan saya ingin bantuan untuk menghentikannya,” kata peneliti.

Berikut transkrip tertulis dari video tersebut:


Jadi, yang ingin saya tunjukkan di sini adalah kerentanan aktif dalam Facebook, yang memungkinkan pengguna jahat untuk menanyakan alamat email di dalam Facebook, dan membuat Facebook mengembalikan pengguna yang cocok.

Ini bekerja dengan kerentanan front-end dengan Facebook, yang telah saya laporkan kepada mereka, membuat mereka sadar, um, bahwa mereka tidak menganggap cukup penting untuk ditambal — yang saya anggap sebagai pelanggaran privasi yang cukup signifikan dan masalah besar.

Metode ini saat ini digunakan oleh perangkat lunak yang sekarang tersedia dalam komunitas peretasan.

Saat ini digunakan untuk mengkompromikan akun Facebook dengan tujuan mengambil alih grup Halaman dan, eh, akun iklan Facebook untuk keuntungan moneter yang jelas. Saya telah menyiapkan contoh visual ini tanpa JS.

Apa yang saya lakukan di sini adalah saya telah mengambil 250 akun Facebook, akun Facebook yang baru terdaftar, yang saya beli secara online seharga sekitar $ 10.

Saya telah menanyakan atau menanyakan 65.000 alamat email. Dan seperti yang Anda lihat dari log keluaran di sini, saya mendapatkan hasil yang signifikan dari mereka.

Advertisement. Scroll to continue reading.

[ad_2]

Source

Click to comment

Leave a Reply

Alamat email Anda tidak akan dipublikasikan.

Artikel Lainnya

Advertisement
close