Stačí „hádat“ telefonní čísla a získáte přístup k záplavě údajů o uživatelích Facebooku. Jména a profilové obrázky, ale také lokační údaje. Uživatele navíc neochrání ani to, že nastavili, že jejich telefonní číslo nemá být veřejně dostupné. Spojení podobných údajů s unikátním a platným telefonním číslem je zlatý důl, stačí pustit skripty, shromažďovat informace a poté je prodávat.
Reaz Moaiandin na chybu přišel tak, že se pokoušel najít někoho na Facebooku přes telefonní číslo, což je v zásadě normální funkce, která může být užitečná. A těží z toho, že většina uživatelů netuší, že by mohli (a měli) dostupnost svého čísla potlačit – výchozí nastavení totiž umožňuje komukoliv hledat a najít vás, stačí když bude znát vaše telefonní číslo. A nastavení čísla na veřejně neviditelné paradoxně na toto hledání nemá žádný vliv.
Pokud budete automaticky generovat telefonní čísla (nic složitého, nakonec jsou to jenom pevně dané předvolby a pak stoupající posloupnosti čísel), tak stačí využít API Facebooku a ke každému číslu, které Facebook zná, dostanete informace o uživateli.
TIP: Ve Facebooku v Nastavení najdete záložku Soukromí a tam Kdo vás může vyhledat pomocí telefonního čísla, které jste zadali (a není to jediná volba vhodná ke změně). Změňte si to na něco jiného, než na zcela veřejné nastavení.
Reaz Moaiandin upozornil Facebook na možnost zneužití této funkčnosti už letos v dubnu, nestalo se ale nic. Naposledy to zkoušel 29. června, kdy se od Facebooku dozvěděl, že to nebere jako bezpečnostní chybu, ale prý má „mechanismy monitorující a zabraňující zneužití“.
Tím Facebook nejspíš myslel klasické omezení na objem dotazů k API v čase. Nic ale případnému útočníkovi nebrání, aby dotazy nepokládal pomaleji. A snadno se dá obejít i omezení příliš velkého množství dotazů z konkrétního zdroje.
Zdroj: Harvest of Facebook user data prompts calls for tighter privacy settings a Facebook: Please fix this security loophole before its too late
ČLÁNKY DO MAILU