Újabb biztonsági rés a Facebookon
Suriya Prakash internetbiztonsági szakértő azt állítja, hogy 500 millió telefonszámot vett el a Facebook adatbázisaiból, mindet a hozzá tartozó felhasználó nevével összepárosítva.
A Facebook először tudomást sem vett a szakértő emailjeire, amiben az a biztonsági résre hívta fel a figyelmet, de miután közzétett egy bő 800 számból álló mintát (véletlenszerű helyeken beletörölve a telefonszámokba), megerősítették, hogy azok valódiak.
Suriya módszere az oldalnak azon a funkcióján alapszik, hogy a mobilos verzióban lehetőség van telefonszám alapján rákeresni felhasználókra. Ezt eredetileg azért tette lehetővé a Facebook, hogy az olyan embereket könnyen meg tudjuk találni, akik a telefonkönyvünkben szerepelnek, de még nem ismerőseink az oldalon. A szakértő azt vette észre, hogy a telefonszámalapú keresés semmilyen módon nincsen lekorlátozva, véletlenszerű számot beütve az oldal kiadja a hozzá tartozó felhasználót, ha az valaha megadta a számát az oldalon.A következő lépés egy olyan program írása volt, ami az összes létező telefonszámot végigpróbálgatja, és ha a Facebook bármelyikre egy létező felhasználót dob vissza, azt elmenti egy adatbázisba. Suriya állítása szerint a programja négy napig futott, amikor a Facebook letiltotta a hozzáférését azzal az indokkal, hogy az ip-címéről gyanús tevékenységet észlelt a rendszer.
A trükk a rendszer logikájából fakad, mivel azt engedélyezi, hogy olyanokra keressünk rá telefonszám alapján, akiket nem ismerünk - illetve feltételezi, hogy ha tudjuk a számát az illetőnek, ismerjük is, csak nem számol azzal, hogy valaki vaktában kezd el milliónyi számot kipróbálgatni. A Facebook illetékesei azt nyilatkozták, jóval érzékenyebbre vették azt a rendszert, ami figyeli, hogy egy ip-címről mennyi keresés érkezik, de teljes védelmet az ilyen típusú kémkedés ellen csak úgy kaphatunk, ha a telefonszámunk láthatóságát vagy kereshetőségét korlátozzuk az adatbiztonsági beállításokban (esetleg töröljük az oldalról). Mivel ezek a lehetőségek a menürendszerben mélyen elrejtve találhatóak, szakértők szerint esélytelen, hogy az átlagos Facebook-felhasználók maguktól megtalálják őket, ezért a Facebooknak kellene alapban szigoróbbra venni a beállításokat, meghagyva a lehetőséget a felhasználónak, hogy enyhébbre vegye azokat, és engedélyezze a keresést, ha akarja.
Sajnos ez nem az első Facebook biztonsági rés, de az is 100%, hogy nem az utolsó.
forrás: index.hu
Hozzászólások