ความพยายามในการเข้าสู่ระบบ Facebook ที่ล้มเหลวในการเปิดเผยข้อมูลส่วนตัว

• หมวดหมู่: Facebook

ลองใช้เครื่องมือของเราเพื่อกำจัดปัญหา

เลือกระบบปฏิบัติการ Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro เลือกโปรแกรมการฉาย (ทางเลือก) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

อธิบายปัญหาของคุณ

รับคำตอบ

ส่งอีเมลถึงฉัน แสดงบนเว็บไซต์

วันนี้ Facebook ดูเหมือนจะไม่ได้หยุดพักเมื่อพูดถึงความเป็นส่วนตัว ข้อบกพร่องใหม่ถูกค้นพบเมื่อวันพุธโดยนักวิจัย Atul Agarwal ซึ่งอนุญาตให้ทุกคนจับคู่ที่อยู่อีเมลกับชื่อและรูปโปรไฟล์ของผู้ใช้ Facebook

Facebook ได้ออกแบบขั้นตอนการเข้าสู่ระบบเพื่อให้ข้อมูลเพิ่มเติมแก่ผู้ใช้หากชุดอีเมลและรหัสผ่านที่ใช้ในการเข้าสู่ระบบไม่ตรงกัน

แทนที่จะแสดงคำเตือนว่าข้อมูลการเข้าสู่ระบบไม่ถูกต้อง Facebook กลับไปอีกขั้นหนึ่งและแสดงข้อมูล 'เข้าสู่ระบบเป็น' บนหน้า ซึ่งรวมถึงรูปโปรไฟล์และชื่อเต็มของผู้ใช้โดยไม่คำนึงถึงการตั้งค่าความเป็นส่วนตัวของผู้ใช้บน Facebook

Atul อธิบายปัญหาโดยละเอียดเกี่ยวกับ Seclists :

ในบางครั้งฉันสังเกตเห็นปัญหาแปลก ๆ กับ Facebook ฉันป้อนรหัสผ่านผิดใน Facebook โดยไม่ได้ตั้งใจและมันแสดงชื่อและนามสกุลของฉันพร้อมรูปโปรไฟล์พร้อมกับข้อความรหัสผ่านที่ไม่ถูกต้อง ฉันคิดว่าการแสดงชื่อนั้นมีส่วนเกี่ยวข้องกับคุกกี้ที่เก็บไว้ดังนั้นฉันจึงลองใช้รหัสอีเมลอื่น ๆ และมันก็เหมือนเดิม ฉันสงสัยในความเป็นไปได้และเขียนเครื่องมือ POC เพื่อทดสอบ

สคริปต์นี้จะแยกชื่อและนามสกุล (ให้โดยผู้ใช้เมื่อพวกเขาสมัครใช้งาน Facebook) Facebook ใจดีพอที่จะส่งคืนชื่อแม้ว่าชุดอีเมล / รหัสผ่านที่ให้มาจะผิดก็ตาม นอกจากนี้ยัง
ให้รูปโปรไฟล์ (สคริปต์นี้ไม่ได้เก็บเกี่ยว แต่ง่ายต่อการเพิ่มด้วย) ผู้ใช้ Facebook ไม่สามารถควบคุมสิ่งนี้ได้เนื่องจากจะใช้งานได้แม้ว่าคุณจะตั้งค่าความเป็นส่วนตัวทั้งหมดอย่างถูกต้อง การรวบรวมข้อมูลนี้ทำได้ง่ายมากเนื่องจากสามารถข้ามได้อย่างง่ายดายโดยใช้พร็อกซีจำนวนมาก

ปัญหาได้รับการแก้ไขตามเวลาที่บันทึกไว้โดย Facebook อย่างไรก็ตามมันหมายความว่า
ปัญหาความเป็นส่วนตัวถูกใช้โดยทุกคนรวมถึงผู้ใช้ที่ไม่มีบัญชี Facebook จนกว่าจะมีการใช้การแก้ไข

ในภาษาอังกฤษล้วน ๆ ใครก็ตามที่พบปัญหาสามารถเชื่อมโยงที่อยู่อีเมลกับชื่อจริงและรูปโปรไฟล์บน Facebook ได้แม้ว่าจะไม่มีบัญชีก็ตาม

ผู้โจมตีโดยเฉพาะอาจใช้ระบบอัตโนมัติเพื่อดึงข้อมูลจำนวนมากจาก Facebook

การพิสูจน์รหัสแนวคิดที่ Atul เขียนแสดงให้เห็นว่าผู้ใช้ที่ประสงค์ร้ายสามารถใช้ประโยชน์จากปัญหานี้เพื่อสร้างฐานข้อมูลขนาดใหญ่ของที่อยู่อีเมลที่เชื่อมโยงและชื่อเต็มซึ่งอาจเป็นหายนะหากใช้ในแคมเปญฟิชชิ่งหรือการใช้งานที่เป็นอันตรายอื่น ๆ