Функция поиска по номеру телефона в Facebook может использоваться злоумышленниками.31.10.2012
Об еще одной уязвимости интерфейса пользователей Facebook
заявил специалисты в области компьютерной безопасности. На этот раз речь идет о
возможном злоупотреблении методами поиска средствами самой социальной сети, а
именно поиска по телефонным номерам. По их сообщениям, введя в поиск цифры
телефонных номеров, можно установить связь между личными данными владельца
аккаунта, его фамилией, именем, местом проживания и его телефонным номером. А
это открывает широкие возможности для различных злоупотреблений со стороны
хакеров и преступных элементов.
Основной проблемой, не решенной специалистами Facebook,
остается то, что при добавлении своего телефонного номера, хотя и выбирается
опция, допускающая просмотр номера только для себя или для друзей, с помощью
методов поиска, имеется возможность получить доступ к этому номеру и привязку
его к конкретной страничке пользователя. Многие пользователи используют свой
номер в качестве меры безопасности, для дополнительной аутентификации при в
ходе в социальную сеть, и в тоже время, очень часто, этот же номер привязан для
идентификации с банковскими счетами, а это уже открывает еще одну лазейку для
хакеров.
Такая база телефонных номеров, с привязкой к личным
страницам пользователей, представляет собой лакомый кусочек для различных
компаний, которые могут заниматься рекламой своей продукции и уже готовы
выложить большие деньги за подобную информацию.
Все это заставило специалистов по безопасности обратиться в
компанию Facebook с предложением принять меры для устранения подобных функциональных
уязвимостей их продукта. Одной из первоочередных мер, принятых Facebook, было
существенное ограничение скорости выполнения поисковых запросов по номеру
телефона, что снизило эффективность в случае простого перебора цифр
автоматическими скриптами в телефонных номерах.
Но это мера оказалась лишь частичной и, как сетуют
специалисты, служит барьером лишь для любителей, но не для профессионалов. Для
проведения эксперимента они сформировали не большую ботсеть, с помощью которой
были запущены скрипты для поиска телефонных номеров по страницам пользователей.
За довольно короткий период им удалось составить базу в несколько тысяч
телефонных номеров, с привязкой к данным из личных страниц пользователей, что,
по их мнению, доказывает неустраненную уязвимость.
Все собранные материалы были отправлены в офис социальной
сети для изучения специалистами компании, но ответа о принятых мерах пока не
поступало.
|