Дата:27/12/16
Разработчик из США Томми ДеВосс (Tommy DeVoss) обнаружил в Facebook уязвимость, позволяющую получить доступ к конфиденциальным адресам электронной почты пользователей соцсети.
Проблема связана с функцией Facebook Groups, позволяющей любому пользователю создавать группы по интересам в соцсети. В качестве администратора одного из сообществ ДеВосс мог предоставлять пользователям право администрирования группы, например, редактировать сообщения или добавлять новых пользователей. Все соответствующие приглашения обрабатываются Facebook и отправляются на ящик личных сообщений Facebook Messages, а также на электронный адрес, привязанный к учетной записи приглашенного. Как оказалось, несмотря на установленные пользователями настройки конфиденциальности, возможно получить доступ к почтовому адресу любого подписчика соцсети.
ДеВосс обнаружил, что при отмене приглашения в разделе «Роли страницы» в мобильной версии Facebook, происходит перенаправление на страницу с URL, содержащим полный адрес электронной почты пользователя, которому отправлялся запрос.
По словам исследователя, злоумышленники могут воспользоваться уязвимостью для осуществления целевых фишинговых атак или другой вредоносной деятельности. ДеВосс проинформировал Facebook о проблеме и в настоящее время уязвимость уже устранена. В качестве награды компания выплатила эксперту $5 тыс, сообщает SecurityLab.
Уязвимость в Facebook раскрывает электронные адреса пользователей
Разработчик из США Томми ДеВосс (Tommy DeVoss) обнаружил в Facebook уязвимость, позволяющую получить доступ к конфиденциальным адресам электронной почты пользователей соцсети.Проблема связана с функцией Facebook Groups, позволяющей любому пользователю создавать группы по интересам в соцсети. В качестве администратора одного из сообществ ДеВосс мог предоставлять пользователям право администрирования группы, например, редактировать сообщения или добавлять новых пользователей. Все соответствующие приглашения обрабатываются Facebook и отправляются на ящик личных сообщений Facebook Messages, а также на электронный адрес, привязанный к учетной записи приглашенного. Как оказалось, несмотря на установленные пользователями настройки конфиденциальности, возможно получить доступ к почтовому адресу любого подписчика соцсети.
ДеВосс обнаружил, что при отмене приглашения в разделе «Роли страницы» в мобильной версии Facebook, происходит перенаправление на страницу с URL, содержащим полный адрес электронной почты пользователя, которому отправлялся запрос.
По словам исследователя, злоумышленники могут воспользоваться уязвимостью для осуществления целевых фишинговых атак или другой вредоносной деятельности. ДеВосс проинформировал Facebook о проблеме и в настоящее время уязвимость уже устранена. В качестве награды компания выплатила эксперту $5 тыс, сообщает SecurityLab.
Просмотры: 448
При использовании ссылка на ictnews.az обязательна
Похожие новости
- Американцы обвиняют Cisco в пособничестве интернет-цензуре в Китае
- Интернет-атаки будут приравниваться к военным действиям
- МВФ подвергся серьезной атаке хакеров
- Пользователи Firefox могут стать жертвой новой мошеннической схемы
- Хакеры устанавливают на компьютеры опасное ПО
- В Турции арестовали более 30 хакеров из Anonymous
- Хакеры взломали внутреннюю сеть Сената США
- В Германии сегодня открылся Национальный центр киберзащиты
- Lulz Security атаковали сайт подразделения британской полиции
- Мобильные телефоны выявят проблемы с сердцем
- Хакеры из Lulz Sec объявили о прекращении деятельности
- Хакеры взломали Twitter телеканала Fox News и написали о смерти Обамы
- Ключевой член хакерской группы LulzSec дал эксклюзивное интервью журналу New Scientist
- В Италии задержаны 15 участников хакерской группы Anonymous
- Объем спама по электронной почте уменьшился в пять раз
