Новый инструмент массово вычисляет профили пользователей Facebook по емейлу — даже если он скрыт

Исследователь сообщил Facebook о frontend-уязвимости, которую эксплуатирует утилита, но та не посчитала её достаточно важной и ответила, что не будет ничего предпринимать. Позже компания сказала, что по ошибке закрыла репорт, не передав ответственной команде, и исправляет проблему.

Кофаундер компании по кибербезопасности Hudson Rock Элон Гэл опубликовал видеоролик, которым с ним поделился исследователь. ИБ-специалист Ашкан Солтани выложил её расшифровку, где автор рассказывает, что за день утилита Facebook Email Search v1.0 обрабатывает 5 млн почтовых адресов. На видео исследователь для примера скормил инструменту 65 тысяч адресов, который на выходе связывает их с пользовательскими ID и именами.

HUGE: A source just tipped me off about a vulnerability that lets attackers find the profiles of almost any Facebook account using an email list.

Facebook knows about the vulnerability and won’t fix it even though it affects almost every Facebook user!https://t.co/uR07Xr6NDb pic.twitter.com/WtyMmrulkO

— Alon Gal (Under the Breach) (@UnderTheBreach) April 20, 2021

По его словам, инструмент гуляет по хакерским группам, а злоумышленники с помощью него атакуют владельцев корпоративных «Страниц Facebook» и рекламные аккаунты с целью вымогательства.

В Facebook считают, что решили вопрос, закрыв метод, показанный на видео. В начале этого года у соцсети вскрылась схожая уязвимость, которую в конечном счёте устранили. Исследователь утверждает, что, по сути, это та же самая проблема, и она опасна тем, что может привести к сливам новых баз данных или использоваться для привязки к емейлам телефонных номеров из прежних утечек.

Через Telegram-бота продают номера полумиллиарда юзеров Facebook

По теме

Через Telegram-бота продают номера полумиллиарда юзеров Facebook

Поддержите редакцию 1,5% налога: бесплатно и за 5 минут

Как помочь, если вы в Польше