Powiążą Twoje konto na FB z e-mailem

Marcin Sarna, 30.04.2021 r.

Facebook Email Search v1.0 demaskuje 5 milionów kont dziennie.

Adresy e-mailowe na Facebooku nie są bezpieczne

Facebook, który w zeszłym miesiącu był targany aferą z wyciekiem numerów telefonów należących do 500 milionów użytkowników, teraz musi zmierzyć się z nowym kryzysem prywatności. Pojawiło się właśnie narzędziem, które masowo łączy konta na Facebooku z adresami e-mail - nawet jeśli użytkownicy zaznaczyli w ustawieniach, aby dane te nie były publicznie dostępne.

Krążące po sieci wideo (póki co niezbyt łatwe do znalezienia i ciągle kasowane) pokazuje w działaniu program o nazwie Facebook Email Search v1.0, który może łączyć konta na Facebooku z aż 5 milionami adresów e-mail dziennie. Bohater nagrania powiedział, że upublicznił lukę po tym, jak Facebook poinformował go, że nie sądzi, by znaleziona przez niego podatność była wystarczająco „ważna”. Na filmie widać jak podaje on narzędziu listę 65 000 adresów e-mail i obserwuje co dzieje się później.

W ciągu trzech minut udało mi się połączyć dane dla 6000 kont e-mailowych.

Zdaniem Facebooka

Według portalu Wygląda na to, że omyłkowo zamknęliśmy ten raport o podatności przed skierowaniem go do odpowiedniego zespołu. Doceniamy osobę, która podzieliła się informacjami. Kontynuujemy działania, aby lepiej zrozumieć na czym polega błąd.

Przedstawiciel Facebooka nie odpowiedział na pytanie, czy firma rzeczywiście powiedziała zgłaszającemu, że nie uważa luki za wystarczająco ważną, aby ją załatać. Póki co inżynierowie Facebooka „złagodzili” podobno wyciek, wyłączając konkretną technikę łączenia kont z adresami e-mail, pokazaną na filmie.

Według doniesień Facebook Email Search wykorzystał lukę w zabezpieczeniach front-endu, którą niedawno zgłoszono Facebookowi. Na początku tego roku Facebook miał podobną lukę, która została ostatecznie naprawiona. Przypomnijmy też, że Facebook jest w ogóle aktywny w kwestiach narzędzi frontendowych, na przykład udostępnił Hermesa, otwarty silnik JavaScript dla React Native.

Junior New Business Development Manager 4600 - 6000 PLN Formy umowy: Umowa zlecenie B2B / Kontrakt

Warszawa

Aplikuj

DevOps Specialist 20660 - 29000 PLN Formy umowy: B2B / Kontrakt

Praca zdalna

Aplikuj

Programista Microsoft Dynamics 365 Business Central Formy umowy: B2B / Kontrakt

Warszawa

Aplikuj

Senior Specialist in Accounting/ Independent Accountant Formy umowy: Umowa o pracę B2B / Kontrakt

Żerniki

Aplikuj

Junior Account Manager 4720 - 5200 PLN Formy umowy: Umowa zlecenie

Warszawa

Aplikuj

Spokojnie, to tylko „szeroki problem branżowy”

Facebook znalazł się w ogniu krytyki także ze względu na sposób, w jaki aktywnie stara się promować ideę, że dziury w portalu wyrządzają jedynie minimalną szkodę użytkownikom Facebooka. E-mail, który Facebook przypadkowo wysłał do reportera holenderskiej publikacji DataNews, poinstruował osoby zajmujące się public relations, aby ujęli to jako szeroki problem branżowy i że taka działalność ma miejsce regularnie. Facebook dokonał również rozróżnienia między skrobaniem danych (scraping) a włamaniami. Tak jakby użytkowników interesowało w jaki sposób albo z jakiego powodu ich konta zostały powiązane z adresami e-mail wbrew ich woli.

Nie jest jasne, czy ktoś aktywnie wykorzystał ten błąd do zbudowania ogromnej bazy danych, ale nie byłoby to zaskakujące.

Skutki luki

Podatność umożliwia użytkownikom wysyłanie zapytań o konkretne adresy e-mail do Facebooka i zwracanie przez Facebooka użytkownika pasującego do danego adresu. Prawdopodobnym jest, że z tak funkcjonującej luki cyberprzestępczość korzysta obecnie z wykorzystaniem także innych narzędzi niż Facebook Email Search.

W efekcie to nie tylko ogromne naruszenie prywatności, ale ryzyko wystąpienia nowego, dużego zrzutu danych, w tym na połączenie dopasowanie adresu e-mail i konta na FB do numerów telefonów, które wyciekły w poprzednich włamaniach.

Poprzedni artykuł Samodzielnie czy przez agencję? Jak szukać pracowników IT?

Następny artykuł Security tokens i utility tokens