Ακόμα δεν έχει καταλαγιάσει ο απόηχος από τη διαρροή πληροφοριών για 500+ εκατομμύρια χρήστες του Facebook και έρχεται στο προσκήνιο μια νέα αναφορά που αποδεικνύει ότι υπάρχουν πολύ σοβαρά κενά ασφαλείας στην πλατφόρμα.
Η ιστοσελίδα Ars Technica ανέδειξε τη δουλειά ενός ερευνητή ασφαλείας που προτίμησε να διατηρήσει την ανωνυμία του, ο οποίος ενημέρωσε πρώτα τη Facebook για το κενό ασφαλείας και αφού είδε πως δεν τον αντιμετωπίζουν σοβαρά τότε αποφάσισε να βγάλει στη φόρα τα ευρήματα του.
Για την ακρίβεια, απέστειλε ένα video – παρουσίαση του εργαλείου Facebook Email Search v1.0 που μπορεί να μαζεύει 5 εκατομμύρια διευθύνσεις email ημερησίως από το κοινωνικό δίκτυο και να τις συσχετίζει με τους αντίστοιχους λογαριασμούς των χρηστών, ακόμη και αν οι τελευταίοι δεν έχουν ανοικτά δημόσια (public) τα προφίλ τους. Το Ars Technica δέχτηκε το video, αλλά ο ερευνητής είχε θέσει όρο να μη δημοσιευθεί. Παρόλα αυτά, παραθέτει γραπτώς όσα λέει στο video:
Αυτό που θα ήθελα να σας δείξω είναι μια ενεργή ευπάθεια στο Facebook που επιτρέπει σε καλοθελητές να “τραβούν” διευθύνσεις email από το κοινωνικό δίκτυο και να τους συσχετίζουν με τους αντίστοιχους λογαριασμούς των χρηστών.
Έχω ενημερώσει για την ευπάθεια τη Facebook, αλλά μάλλον δεν τη θεωρούν σημαντική για να την κλείσουν με κάποιο patch. Θεωρώ ότι είναι μια ιδιαίτερα σημαντική παραβίαση της ιδιωτικότητας και θα εξελιχθεί σε μεγάλο πρόβλημα.
Κατάφερα να εξάγω αυτά τα αποτελέσματα με ένα λογισμικό που είναι ήδη διαθέσιμο στην κοινότητα των hackers. Αυτή την περίοδο χρησιμοποιείται με σκοπό να πάρουν τον έλεγχο διάφορων Pages, Groups και διαφημιστικούς λογαριασμούς για προφανείς λόγους. Έχω δοκιμάσει το λογισμικό σε μεγάλη κλίμακα και έχει τη δυνατότητα να τραβά έως 5 εκατομμύρια διευθύνσεις email καθημερινά.
Υπήρχε μια παρόμοια ευπάθεια στο Facebook νωρίτερα μέσα στη χρονιά, η οποία είχε επιδιορθωθεί με patch. Αυτή που αναφέρω τώρα είναι ουσιαστικά μια συγγενής ευπάθεια που για κάποιο λόγο δεν έχουν σκοπό να κλείσουν. Μου είπαν απευθείας ότι δεν σκοπεύουν να κάνουν κάτι.
Γι’ αυτό στρέφομαι σε εσάς (σ.σ. στο Ars Technica) με την ελπίδα ότι θα εκμεταλλευτείτε την επιρροή σας και τις επαφές σας για να κλείσει αυτό το κενό. Είμαι σίγουρος ότι δεν πρόκειται απλά για ένα τεράστιο κενό ασφαλείας, αλλά θα οδηγήσει μεσοπρόθεσμα στη διαρροή ακόμα μίας μεγάλης βάσης δεδομένων που θα περιλαμβάνει διευθύνσεις email και τους λογαριασμούς Facebook με τους οποίους συνδέονται (τα Facebook IDs).
Η πρώτη αντίδραση της Facebook αφότου πήρε δημοσιότητα το θέμα είναι η εξής:
Φαίνεται ότι λανθασμένα προσπεράσαμε αυτήν την αναφορά προτού ασχοληθεί μαζί της η αρμόδια ομάδα. Είμαστε ευγνώμονες στον ερευνητή που μοιράστηκε αυτές τις πληροφορίες μαζί μας, έχουμε ξεκινήσει ήδη τις διαδικασίες για να κατανοήσουμε καλύτερα τα ευρήματα του και φυσικά για να διορθώσουμε το πρόβλημα.
Πηγή: techgear.gr
(Κώστας Παπαζαχαρίου, αναδημοσίευση 26/4/2021)
Join the Conversation →