Эксперты обнаружили пробел в безопасности Facebook

Специалистом по безопасности Резой Мояндином (Reza Moaiandin) была написана в своем блоге интересная информация, которая привлекла внимание многих пользователей. Оказывается, минуло уже несколько месяцев с тех пор, как он начал добиваться от Facebook выполнения его просьбы по повышению уровня защиты.

 

Он попросил, в частности, исправить настройки безопасности на данном интернет-ресурсе. С его точки зрения, Мояндин смог выявить слабое место в системе безопасности Facebook. Эта брешь предоставляет возможность хакеру расшифровать и получить все идентификаторы пользователей Facebook. И для этого ему будет достаточно иметь один доступ в один из API-интерфейсов.

 

Это означает, что хакер может без проблем получить личные данные миллионов пользователей социальной сети. Речь идет про такие сведения, как имя, месторасположение, телефонный номер, изображения и прочее.

 

Напомним, что эти самые личные данные можно продать. По нынешним цена покупка-продажа обойдется в среднем в пять долларов США. Масштаб такой коммерции можно сопоставить, если знаешь, что около 1,44 миллиарда человек на планете постоянно входят в Facebook.

 

 

Эксперт провел тестирование аккаунтов американских, британских и канадских пользователей. Он считает, что действующие ныне настройки по умолчанию некорректно выдают конфиденциальную информацию. Пользователи об этом даже не знают.

 

Людей в Facebook ищут не только по имени, но и по телефону или адресу электронной почты. И в этом суть проблемы. Ведь при этом поиск допускается даже тогда, когда пользователь не пожелал показывать данные поля в своем профиле.

 

Но для Facebook это не баг. В настройках конфиденциальности Facebook предусмотрели специальный раздел. Он называется: «Кто может меня найти?». В нем есть параметры, для каждого из которых указана определенная аудитория. Именно она вправе искать пользователя по указанному параметру.

 

Проблема в следующем: по умолчанию в этом разделе не предусмотрены никакие ограничения. Значит, можно искать по телефону и адресу электронной почты. Даже тогда, когда эти параметры в профиле не увидишь.

 

Резой Мояндином был написан соответствующий скрипт. Он обращается к Facebook API, делает перебор всех номеров подряд. Именно так можно, к примеру, сформировать базу, в которой будут имена и телефонные номера практически всех пользователей из какой-то страны. Причем вместе с фото. Но в эту базу не попадут те, которые исправили баг в настройках конфиденциальности.

 

В самом Facebook, как уже говорилось, не считают это багом. Об этом было написано и Р. Мояндину в ответ на его обращение. В компании считают, что в настройках конфиденциальности предусмотрен соответствующий раздел. А еще в Facebook действуют специальные сетевые программы, и они выявляют обращения к API, вызывающие подозрения. Происходит блокировка, когда идет массовый сбор данных.