Vyhledávání telefonů na Facebooku může být zneužito k nalezení lidských čísel, výzkumníci říkají

Útočníci mohou zneužít funkci vyhledávače telefonů ve Facebooku, aby nalezli platná telefonní čísla a jméno jejich vlastníků podle výzkumníků bezpečnosti

Útok je možný, protože Facebook neomezuje počet vyhledávání telefonních čísel, které může uživatel provést prostřednictvím mobilní verze svých internetových stránek, řekl Suriya Prakash, nezávislý bezpečnostní výzkumník v nedávném příspěvku na blogu.

Facebook umožňuje uživatelům přiřadit své telefonní čísla se svými účty. Pokud je to nutné, ověří se číslo mobilního telefonu pro ověření jakéhokoli nového účtu Facebook a odemknutí funkcí, jako je nahrávání videa nebo personalizace adresy URL časové osy.

[Další informace: Jak odstranit malware z počítače se systémem Windows]

v sekci "Kontaktní informace" na příslušných stránkách profilů Facebook si uživatelé mohou vybrat, zda chtějí tyto informace zpřístupnit široké veřejnosti, pouze svým přátelům, nebo si to přejí, a to je dobrá volba ochrany osobních údajů.

Facebook také umožňuje uživatelům najít jiné osoby na webových stránkách vyhledáním telefonních čísel těchto osob v mezinárodním formátu.

Uživatelé mohou ovládat, kdo je může najít pomocí této metody pomocí možnosti "Nastavení ochrany osobních údajů"> "Jak vy Connect ">" Kdo vás může vyhledat pomocí e-mailové adresy nebo telefonního čísla, které jste zadali? " který je ve výchozím nastavení nastaven na hodnotu "Everyone".

To znamená, že i když nastavíte viditelnost svého telefonu na hodnotu "Pouze já" na stránce profilu, bude vás někdo, kdo zná vaše telefonní číslo, změníte druhé nastavení na hodnotu "Přátelé" nebo "Přátelé přátel". Neexistuje žádná možnost, která by zabránila všem v nalezení profilu pomocí vašeho telefonního čísla.

Protože většina lidí nemění výchozí hodnotu tohoto nastavení, může útočník vygenerovat seznam sekvenčních telefonních čísel v rámci vybraného rozsah - například od konkrétního operátora - a pomocí vyhledávacího pole ve Facebooku zjistíte, do koho patří, řekl Prakash. Připojení náhodného telefonního čísla k jménu je sen každého inzerenta a tyto seznamy by přinesly na černém trhu velkou cenu.

Prakash tvrdí, že sdílel tento scénář útoku s bezpečnostním týmem Facebooku v srpnu a poté, počáteční odpověď na 31 srpnu všechny jeho e-maily nezodpovězeny až do 2. října, kdy zástupce Facebook odpověděl a uvedl, že míra, na kterou se uživatelé mohou nacházet na internetových stránkách prostřednictvím jakýchkoli prostředků, včetně telefonních čísel, jsou omezené.

Nicméně mobilní verze webové stránky Facebooku - m.facebook.com - zdá se, že nemá žádnou omezení vyhledávání, řekl Prakash.

Výzkumný pracovník vytvořil čísla s předponami země USA a Indie a vytvořil jednoduchý doklad o tom, (PoC), který je vyhledal na Facebooku a uložil ty, o kterých se zjistilo, že jsou spojeny s profily Facebook, společně s jmény jejich vlastníků.

Prakash uvedl, že se rozhodl veřejně zveřejnit tuto chybu několik dní na zádi poslal svůj PoC skript na Facebook, protože společnost nereagovala. Prakash dokonce zveřejnil 850 částečně zmatených telefonních čísel a souvisejících názvů, které podle jeho názoru představovaly velmi malou část údajů, které získal během testů.

"Je to asi týden od doby, kdy jsem ho spustil a stále nemám byl zablokován, "řekl Prakash v pondělí prostřednictvím e-mailu. "Dokonce jsem je informoval [Facebook], že dnes ráno (indický čas) stále neodpovídá."

Facebook nevrátil žádost o komentář odeslaný v pondělí.

Jiný výzkumník zkoušel

Po zveřejnění Prakasha Tylera Borlanda, bezpečnostní výzkumník s dodavatelem zabezpečení v síti Alert Logic, vytvořil ještě účinnější skript, který může současně spustit až deset procesů vyhledávání telefonů Facebook. Borlandův skript se nazývá "crawler telefonu Facebook" a může vyhledávat telefonní čísla z uživatelského rozsahu.

"S výchozím nastavením jsem dokázala ověřit data za jedno telefonní číslo každou sekundu," řekl Borland e-mailem v pondělí. "Oni [Facebook] nepoužívají žádnou míru, která by omezovala, nebo jsem zatím neuložil tento limit. Opět jsem odeslal stovky žádostí v krátkých časových intervalech a nic se nestalo."

Borlandův skript běží na velkém botnet - více než 100 000 počítačů - útočník nalezl telefonní čísla a jména většiny uživatelů Facebooku s mobilními čísly spojenými s jejich účty za několik dní, řekl Prakash.

Je znepokojující, že tato zranitelnost je stále otevřená a existují které jsou k dispozici k jeho využití, řekl Bogdan Botezatu, senior analytik e-hrozby u dodavatele antivirových produktů Bitdefender, prostřednictvím e-mailu v pondělí. Velmi málo uživatelů změní výchozí nastavení ochrany osobních údajů, uvedl.

Toto je další příklad toho, jak může být skvělá funkce zneužita, pokud bezpečnostní mechanismy jsou špatně implementovány nebo zcela chybí, řekl Botezatu. "Na rozdíl od e-mailových zpráv nebo komentářů blogů je blížící se telefonu k uživateli mnohem efektivnější při útoku kopírování [phishing], většinou proto, že uživatel počítače není si vědom skutečnosti, že jeho telefonní číslo mohlo skončit "

Hlasové phishingové útoky a další typy podvodů v telefonu jsou běžné a jejich úspěšnost je již vysoká, Botezatu

"Teď si představte, že tihle podvodníci se na vás obracejí celým tvým jménem a zálohují své prohlášení s informacemi o vás, které jste vzali přímo z vašeho [Facebook] profilu." Botezatu řekl: