Спецпроекты

Безопасность Администратору Пользователю Маркет

Facebook показал спамерам имена и фотографии всех своих пользователей

В результате ошибки в работе программных систем социальной сети Facebook спамеры и фишеры в течение некоторого времени могли свободно собирать личные данные пользователей сервиса - имена и фотографии - для применения в своих целях.

В популярной социальной сети Facebook был обнаружена недоработка, благодаря которой спамеры имели возможность узнавать полные имена пользователей и видеть фотографию, располагая лишь адресами их электронной почты.

Как сообщает ComputerWorld, было замечено, что в случае введения в специальную форму для входа на сайт адреса электронной почты, который соответствует указанному одним их 500 млн пользователей сети, вместе с неправильным паролем, пользователь попадает на отдельную страницу, где ему предлагают снова ввести пароль.

Данная страница содержит не только поля для указания почтового адреса и пароля, но также и полное имя пользователя вместе с его фотографией, указанной в качестве основной на его профиле в социальной сети.

Как отмечают аналитики, данная функция была придумана разработчиками, чтобы пользователю было легче вспомнить, не перепутал ли он свой логин на Facebook. Однако, эта функция соцсети могла активно эксплуатироваться злоумышленниками - фишерами и спамерами - для сбора личной информации.

Так, спамеры могли написать специальную программу, которая автоматически вводит адреса электронной почты в форму на сайте, после чего узнает и сохраняет в базе их реальные имена. Такие данные могли существенно облегчить проведение фишерской атаки, отметил Атул Агарвал (Atul Agarwal), исследователь, который первым обнаружил данную уязвимость во вторник, 10 августа. Также кто-нибудь мог написать программу, генерирующую случайные адреса электронной почты и сохраняющую те из них, которые действительно существуют.

По словам эксперта, данная страница на Facebook демонстрировала фотографию пользователя даже в том случае, если он запретил показывать ее незнакомым людям. «Сбор личных данных с помощью этой функции осуществлять очень просто», - сказал Агарвал.

Представители Facebook заявили, что причиной данной проблемы стала ошибка в работе специальной системы безопасности. «У нас есть технические системы, которые запрещают показывать имена и фотографии людей пользователям, которые не имеют к ним отношения, но недавно замеченная ошибка стала причиной временной остановки их работы. Мы уже работаем над исправлением данный проблемы», - заявил представитеь соцсети. Проблема действительно была исправлена к вечеру среды, 11 августа.

«Интернет-мошенники уже давно проявляют большой интерес к Facebook, и такие преступники, как, например, создатели известного червя Koobface, могли использовать эту ошибку в своих интересах. Я уверен, что многие злоумышленники кинулись применять уязвимость в своих целях, чтобы извлечь из нее максимум пользы до тех пор, пока она не будет исправлена», - заявил Роджер Томпсон (Roger Thompson), директор по исследования компании AVG.

Антон Труханов

Короткая ссылка