Уязвимость в Facebook раскрывает электронные адреса пользователей

Уязвимость в Facebook раскрывает электронные адреса пользователей

Проблема связана с функцией Facebook Groups, позволяющей любому пользователю создавать группы по интересам в соцсети.

image

Разработчик из США Томми ДеВосс (Tommy DeVoss) обнаружил в Facebook уязвимость, позволяющую получить доступ к конфиденциальным адресам электронной почты пользователей соцсети.

Проблема связана с функцией Facebook Groups, позволяющей любому пользователю создавать группы по интересам в соцсети. В качестве администратора одного из сообществ ДеВосс мог предоставлять пользователям право администрирования группы, например, редактировать сообщения или добавлять новых пользователей. Все соответствующие приглашения обрабатываются Facebook и отправляются на ящик личных сообщений Facebook Messages, а также на электронный адрес, привязанный к учетной записи приглашенного. Как оказалось, несмотря на установленные пользователями настройки конфиденциальности, возможно получить доступ к почтовому адресу любого подписчика соцсети.

ДеВосс обнаружил, что при отмене приглашения в разделе «Роли страницы» в мобильной версии Facebook, происходит перенаправление на страницу с URL, содержащим полный адрес электронной почты пользователя, которому отправлялся запрос.


По словам исследователя, злоумышленники могут воспользоваться уязвимостью для осуществления целевых фишинговых атак или другой вредоносной деятельности. ДеВосс проинформировал Facebook о проблеме и в настоящее время уязвимость уже устранена. В качестве награды компания выплатила эксперту $5 тыс. 

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle