失敗したFacebookログイン試行で個人情報が明らかになる

プライバシーに関しては、最近Facebookは休息していないようです。新しいバグが水曜日に研究者Atul Agarwalによって発見されました。これにより、誰でもメールアドレスをFacebookユーザーの名前とプロフィール写真と照合できました。

Facebookは、ログインに使用した電子メールとパスワードの組み合わせが一致しない場合にユーザーに追加情報を提供するようにログインプロセスを設計しました。

ログイン情報が正しくないという警告を表示するだけでなく、Facebookはさらに一歩進んで、ページに「ログイン」情報を表示しました。これには、Facebookでのユーザーのプライバシー設定に関係なく、ユーザーのプロフィール写真と氏名が含まれていました。

Atulは問題を詳細に説明しました セクリスト

いつか、私はFacebookで奇妙な問題に気づきました。誤ってFacebookに間違ったパスワードを入力していたため、プロフィールの写真と一緒に自分の姓名とパスワードが正しくないメッセージが表示されました。名前が表示されているという事実は、保存されたCookieと関係があると思ったので、他のメールIDを試しましたが、同じでした。私は可能性について疑問に思い、それをテストするためのPOCツールを作成しました。

このスクリプトは、ユーザーがFacebookにサインアップするときに提供する姓名を抽出します。 Facebookは、提供されたEメール/パスワードの組み合わせが間違っていても、名前を返すのに十分親切です。さらに、それも
プロフィール写真を表示します(このスクリプトはそれを収集しませんが、追加するのも簡単です)。すべてのプライバシー設定を適切に設定した場合でも機能するため、Facebookユーザーはこれを制御できません。大量のプロキシを使用することで簡単にバイパスできるため、このデータの収集は非常に簡単です。

facebook login privacy
Facebookログインプライバシー

この問題はFacebookによって記録的な速さで修正されました。ただし、それは
プライバシーの問題は、修正が適用されるまで、Facebookアカウントを持たないユーザーを含むすべてのユーザーが悪用することができました。

平易な英語で、問題を発見した人は誰でも、アカウントがなくてもFacebookでメールアドレスを本名とプロフィール写真にリンクすることができました。

専用の攻撃者は、自動化を使用してFacebookから情報をまとめて抽出した可能性があります。

Atulが書いた概念実証コードは、悪意のあるユーザーがリンクされた電子メールアドレスと氏名の巨大なデータベースを作成するためにこの問題を悪用し、フィッシングキャンペーンやその他の悪意のある用途に使用された場合に悲惨なものになる可能性があることを示しました。