Căutarea telefonică a Facebook poate fi abuzată pentru a găsi numerele oamenilor, spun cercetătorii

Atacatorii pot abuza de funcția de căutare a telefonului Facebook pentru a găsi numere de telefon valide și numele proprietarilor lor, potrivit cercetătorilor din domeniul securității. nu limitează numărul de căutări pe care le poate efectua un utilizator prin versiunea mobilă a site-ului său web, Suriya Prakash, un cercetător independent în domeniul securității, citat într-un articol publicat recent.

Facebook permite utilizatorilor să-și asocieze numerele de telefon cu conturile lor. Dacă este necesar, este necesar un număr de telefon mobil pentru a verifica orice cont nou pe Facebook și pentru a debloca funcții precum încărcarea video sau personalizarea adresei URL cronologie.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]

secțiunea "Informații de contact" de pe paginile lor de profil Facebook, utilizatorii pot alege dacă doresc să facă această informație vizibilă publicului larg, numai prietenilor sau dacă doresc să o păstreze pentru ei înșiși, ceea ce reprezintă o bună opțiune de confidențialitate.

Facebook permite utilizatorilor să găsească și alte persoane pe site prin căutarea numerelor de telefon ale acelor persoane în format internațional.

Utilizatorii pot controla cine le poate localiza folosind această metodă printr-o opțiune din secțiunea "Setări de confidențialitate"> " Conectați ">" Cine vă poate căuta utilizând adresa de e-mail sau numărul de telefon pe care l-ați furnizat? " care este setat în mod prestabilit la "Toată lumea".

Aceasta înseamnă că, chiar dacă setați vizibilitatea numărului dvs. de telefon pe "Numai pe mine" pe pagina dvs. de profil, oricine cunoaște numărul dvs. de telefon va putea totuși să vă găsească pe Facebook, modificați a doua setare la "Prieteni" sau "Prietenii prietenilor". Nu există opțiune pentru a împiedica oricine să-ți localizeze profilul utilizând numărul dvs. de telefon.

Deoarece majoritatea oamenilor nu modifică valoarea implicită a acestei setări, este posibil ca un atacator să genereze o listă de numere de telefon secvențiale într-o listă selectată - de exemplu, de la un anumit operator - și utilizați caseta de căutare Facebook pentru a descoperi căruia îi aparțin, a spus Prakash. Conectarea unui număr de telefon la un nume este visul fiecărui agent de publicitate, iar acest tip de liste ar aduce un preț mare pe piața neagră, a spus el.

Prakash susține că a împărtășit acest scenariu de atac cu echipa de securitate Facebook în august și după răspunsul inițial pe 31 august, toate e-mailurile sale au rămas fără răspuns până pe 2 octombrie, când un reprezentant Facebook a răspuns și a spus că rata la care utilizatorii pot fi găsite pe site prin orice mijloace, inclusiv numerele de telefon, este restricționată. Cu toate acestea, versiunea mobilă a site-ului Facebook - m.facebook.com - pare să nu aibă nici o limitare a ratei de căutare, a spus Prakash.

Cercetătorul a generat numere cu prefixe de țară din SUA și India și a creat o simplă dovadă- (PoC) care le-a căutat pe Facebook și le-a salvat pe cele care s-au dovedit a fi asociate cu profilurile Facebook, împreună cu numele proprietarilor lor.

Prakash a declarat că a decis să dezvăluie public vulnerabilitatea câteva zile la pupă er a trimis scriptul său PoC la Facebook, deoarece compania nu a răspuns. Prakash a publicat chiar 850 de numere de telefon parțial obfuscate și nume asociate care, a susținut el, au reprezentat o parte foarte mică din datele pe care le-a obținut în timpul testelor sale.

"A trecut cam o săptămână de când am început să o execut și încă nu am a fost blocat ", a declarat Prakash luni prin e-mail. "

Facebook nu a retrimis o cerere de comentarii trimise luni

Un alt teste de cercetator

Dupa publicarea lui Prakash, Tyler Borland, un cercetător de securitate cu vânzătorul de securitate de rețea Alert Logic, a creat un script chiar mai eficient, care poate rula până la zece procese Facebook de căutare telefonică în același timp. Scenariul lui Borland se numește "crawler pe telefonul Facebook" și poate căuta numere de telefon dintr-o gamă specificată de utilizator.

"Cu setările implicite am putut verifica datele pentru un număr de telefon în fiecare secundă", a declarat Borland prin e-mail luni. "Ei [Facebook] nu folosesc nici un fel de rată limitată sau nu am atins limita încă. Din nou, am trimis sute de cereri în intervale scurte de timp și nu sa întâmplat nimic."

Cu scriptul lui Borland rulează într-o mare botnet - peste 100.000 de computere - un atacator ar putea găsi numerele de telefon și numele celor mai mulți utilizatori Facebook cu numere de telefon asociate conturilor lor în câteva zile, a spus Prakash.

Este îngrijorător faptul că această vulnerabilitate este încă deschisă și există instrumente publice disponibile pentru a le exploata, a declarat Bogdan Botezatu, analist senior la e-threat de la vânzătorul antivirus Bitdefender, prin e-mail luni. Foarte puțini utilizatori modifică setările de confidențialitate implicite, a spus el.

Acesta este un alt exemplu al modului în care o caracteristică excelentă poate ajunge abuzată dacă mecanismele de siguranță sunt prost implementate sau lipsesc complet, a spus Botezatu. "Spre deosebire de mesajele de poștă electronică sau comentariile de pe blog, abordarea unui utilizator prin telefon este mult mai eficientă într-un atac de vopsire a unui spear, mai ales din cauză că utilizatorul computerului nu este conștient de faptul că numărul său de telefon poate s-a încheiat "

Atacurile de phishing și alte tipuri de escrocherii telefonice sunt frecvente și rata de succes a acestora este deja ridicată, Botezatu "Acum, imaginați-vă că acești infractori vă adresează numele dvs. complet și vă susțin declarațiile cu informații despre dvs. luate direct de pe profilul dvs. [Facebook]". Botezatu a spus: