TeamQuest Blog

Powiążą Twoje konto na FB z e-mailem

Powiążą Twoje konto na FB z e-mailem

Marcin Sarna , 30.04.2021 r.

Facebook Email Search v1.0 demaskuje 5 milionów kont dziennie.

Adresy e-mailowe na Facebooku nie są bezpieczne

Facebook, który w zeszłym miesiącu był targany aferą z wyciekiem numerów telefonów należących do 500 milionów użytkowników, teraz musi zmierzyć się z nowym kryzysem prywatności. Pojawiło się właśnie narzędziem, które masowo łączy konta na Facebooku z adresami e-mail - nawet jeśli użytkownicy zaznaczyli w ustawieniach, aby dane te nie były publicznie dostępne.

Krążące po sieci wideo (póki co niezbyt łatwe do znalezienia i ciągle kasowane) pokazuje w działaniu program o nazwie Facebook Email Search v1.0, który może łączyć konta na Facebooku z aż 5 milionami adresów e-mail dziennie. Bohater nagrania powiedział, że upublicznił lukę po tym, jak Facebook poinformował go, że nie sądzi, by znaleziona przez niego podatność była wystarczająco „ważna”. Na filmie widać jak podaje on narzędziu listę 65 000 adresów e-mail i obserwuje co dzieje się później.

W ciągu trzech minut udało mi się połączyć dane dla 6000 kont e-mailowych.

Zdaniem Facebooka

Według portalu Wygląda na to, że omyłkowo zamknęliśmy ten raport o podatności przed skierowaniem go do odpowiedniego zespołu. Doceniamy osobę, która podzieliła się informacjami. Kontynuujemy działania, aby lepiej zrozumieć na czym polega błąd.

Przedstawiciel Facebooka nie odpowiedział na pytanie, czy firma rzeczywiście powiedziała zgłaszającemu, że nie uważa luki za wystarczająco ważną, aby ją załatać. Póki co inżynierowie Facebooka „złagodzili” podobno wyciek, wyłączając konkretną technikę łączenia kont z adresami e-mail, pokazaną na filmie.

Według doniesień Facebook Email Search wykorzystał lukę w zabezpieczeniach front-endu, którą niedawno zgłoszono Facebookowi. Na początku tego roku Facebook miał podobną lukę, która została ostatecznie naprawiona. Przypomnijmy też, że Facebook jest w ogóle aktywny w kwestiach narzędzi frontendowych, na przykład udostępnił Hermesa, otwarty silnik JavaScript dla React Native.

Spokojnie, to tylko „szeroki problem branżowy”

Facebook znalazł się w ogniu krytyki także ze względu na sposób, w jaki aktywnie stara się promować ideę, że dziury w portalu wyrządzają jedynie minimalną szkodę użytkownikom Facebooka. E-mail, który Facebook przypadkowo wysłał do reportera holenderskiej publikacji DataNews, poinstruował osoby zajmujące się public relations, aby ujęli to jako szeroki problem branżowy i że taka działalność ma miejsce regularnie. Facebook dokonał również rozróżnienia między skrobaniem danych (scraping) a włamaniami. Tak jakby użytkowników interesowało w jaki sposób albo z jakiego powodu ich konta zostały powiązane z adresami e-mail wbrew ich woli.

Nie jest jasne, czy ktoś aktywnie wykorzystał ten błąd do zbudowania ogromnej bazy danych, ale nie byłoby to zaskakujące.

Skutki luki

Podatność umożliwia użytkownikom wysyłanie zapytań o konkretne adresy e-mail do Facebooka i zwracanie przez Facebooka użytkownika pasującego do danego adresu. Prawdopodobnym jest, że z tak funkcjonującej luki cyberprzestępczość korzysta obecnie z wykorzystaniem także innych narzędzi niż Facebook Email Search.

W efekcie to nie tylko ogromne naruszenie prywatności, ale ryzyko wystąpienia nowego, dużego zrzutu danych, w tym na połączenie dopasowanie adresu e-mail i konta na FB do numerów telefonów, które wyciekły w poprzednich włamaniach.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej