Νέο σκάνδαλο για το Facebook – κίνδυνος διαρροής email χρηστών

84
cliche hacker and binary code (26946304530)

Μετά το σκάνδαλο της διαρροής πληροφοριών 500+ εκατομμυρίων χρηστών του Facebook, έρχεται στο προσκήνιο μια νέα αναφορά που αποδεικνύει ότι υπάρχουν πολύ σοβαρά κενά ασφαλείας στην πλατφόρμα. Η ιστοσελίδα Ars Technica ανέδειξε τη δουλειά ενός ερευνητή ασφαλείας, που προτίμησε να διατηρήσει την ανωνυμία του, ο οποίος ενημέρωσε πρώτα το Facebook για το κενό ασφαλείας που εντόπισε, και αφού είδε πως δεν τον αντιμετωπίζουν σοβαρά τότε αποφάσισε να βγάλει στη φόρα τα ευρήματα του.

Για την ακρίβεια, απέστειλε ένα video – παρουσίαση του εργαλείου Facebook Email Search v1.0, το οποίο μπορεί να μαζεύει 5 εκατομμύρια διευθύνσεις email ημερησίως από το κοινωνικό δίκτυο και να τις συσχετίζει με τους αντίστοιχους λογαριασμούς των χρηστών, ακόμη και αν οι τελευταίοι δεν έχουν ανοικτά δημόσια (public) τα προφίλ τους. Το Ars Technica έλαβε το video, αλλά δεν το δημοσίευσε μετά από επιθυμία του ερευνητή. Παρόλα αυτά, παραθέτει γραπτώς όσα λέει στο video:

“Αυτό που θα ήθελα να σας δείξω είναι μια ενεργή ευπάθεια στο Facebook που επιτρέπει σε καλοθελητές να “τραβούν” διευθύνσεις email από το κοινωνικό δίκτυο και να τους συσχετίζουν με τους αντίστοιχους λογαριασμούς των χρηστών. Έχω ενημερώσει το Facebook, αλλά μάλλον δεν το θεωρούν σημαντικό για να λύσουν το πρόβλημα με κάποιο patch. Θεωρώ ότι είναι μια ιδιαίτερα σημαντική παραβίαση της ιδιωτικότητας και θα εξελιχθεί σε μεγάλο πρόβλημα. Κατάφερα να εξάγω αυτά τα αποτελέσματα με ένα λογισμικό που είναι ήδη διαθέσιμο στην κοινότητα των hackers. Αυτή την περίοδο χρησιμοποιείται με σκοπό να πάρουν τον έλεγχο διάφορων σελιδών και ομάδων για προφανείς λόγους. Έχω δοκιμάσει το λογισμικό σε μεγάλη κλίμακα και έχει τη δυνατότητα να τραβά έως 5 εκατομμύρια διευθύνσεις email καθημερινά. Υπήρχε μια παρόμοια ευπάθεια στο Facebook νωρίτερα μέσα στη χρονιά, η οποία είχε επιδιορθωθεί με patch. Αυτή που αναφέρω τώρα είναι ουσιαστικά μια συγγενής ευπάθεια που για κάποιο λόγο δεν έχουν σκοπό να κλείσουν. Μου είπαν απευθείας ότι δεν σκοπεύουν να κάνουν κάτι. Γι’ αυτό στρέφομαι σε εσάς (σ.σ. στο Ars Technica) με την ελπίδα ότι θα εκμεταλλευτείτε την επιρροή σας και τις επαφές σας για να κλείσει αυτό το κενό. Είμαι σίγουρος ότι δεν πρόκειται απλά για ένα τεράστιο κενό ασφαλείας, αλλά θα οδηγήσει μεσοπρόθεσμα στη διαρροή ακόμα μίας μεγάλης βάσης δεδομένων που θα περιλαμβάνει διευθύνσεις email και τους λογαριασμούς Facebook με τους οποίους συνδέονται (τα Facebook IDs).”

Η πρώτη αντίδραση της Facebook αφότου πήρε δημοσιότητα το θέμα είναι η εξής:

“Φαίνεται ότι λανθασμένα προσπεράσαμε αυτήν την αναφορά προτού ασχοληθεί μαζί της η αρμόδια ομάδα. Είμαστε ευγνώμονες στον ερευνητή που μοιράστηκε αυτές τις πληροφορίες μαζί μας, έχουμε ξεκινήσει ήδη τις διαδικασίες για να κατανοήσουμε καλύτερα τα ευρήματα του και φυσικά για να διορθώσουμε το πρόβλημα.”

πηγή: techgear.gr