Nepraėjus nė mėnesiui po paskutinio „Facebook“ duomenų nutekėjimo, kuris paveikė 500 milijonų vartotojų, socialiniam tinklui prognozuojama naują krizė, skelbia portalas „Ars Technica“.
Kibernetinio saugumo tyrėjas, norėjęs likti nežinomu, atrado įrankį „Facebook Email Search v1.0“, kuris gali susieti „Facebook“ paskyras su el. pašto adresais. Šis įrankis suteikia vartotojui galimybę dideliais mastais atpažinti šio socialinio tinklo vartotojus – iki 5 milijonų žmonių per dieną.
Tyrėjas išsiaiškino, kad „Facebook Email Search v1.0“ naudoja platformos kliento pusės (angl. frontend) pažeidžiamumą ir susisiekė su „Facebook“ administracija – tačiau ten, anot jo, šis pažeidžiamumas nebuvo įvertintas kaip pakankamai rimtas, kad būtų imtasi jo taisymo.
Kol kas nėra įrodymų, kad kokie nors užpuolikai būtų pasinaudoję šia spraga, norėdami sukurti didžiulę „Facebook“ vartotojų el. pašto adresų duomenų bazę – tačiau būtų naivu manyti, kad elektroniniai nusikaltėliai ignoruotų tokią galimybę. „Manau, kad tai yra labai pavojingas pažeidžiamumas, ir aš norėčiau padėti jį pašalinti“, – sakė kibernetinio saugumo tyrinėtojas.
Pasak pažeidžiamumą atradusio eksperto, spraga leidžia įsilaužti „Facebook“ paskyras, užgrobti puslapius ir reklamines paskyras. Tačiau šio pažeidžiamumo potencialas yra daug platesnis, perspėja „Avast“ informacijos saugumo evangelistas Luisas Corronsas.
Tokiu būdu įsilaužėliai galės ne tik suderinti el. paštą su vartotojo ID, bet ir pridėti šiuos duomenis prie telefonų numerių, kurie tapo prieinamais dėl ankstesnių duomenų nutekėjimų „, – sako „Avast“ specialistas.
Žinoma, niekas neturėtų turėti galimybės pateikti užklausų „Facebook“ duomenų bazėje tokiu būdu, kuris leistų nutekinti asmeninius duomenys, teigia „Check Point Software Technologies“ produktų pažeidžiamumo tyrimų vadovas Odedas Vanunu. Pasak jo, pažeidžiamumas galėtų leisti sukurti „Facebook“ vartotojų ir el. pašto adresų duomenų bazę tolesnei kenkėjiškai veiklai.
Parengta pagal Gazeta.ru ir „Ars Technica“.