Разработчик из США Томми ДеВосс (Tommy DeVoss) обнаружил в Facebook уязвимость, позволяющую получить доступ к конфиденциальным адресам электронной почты пользователей соцсети.

Проблема связана с функцией Facebook Groups, позволяющей любому пользователю создавать группы по интересам в соцсети. В качестве администратора одного из сообществ ДеВосс мог предоставлять пользователям право администрирования группы, например, редактировать сообщения или добавлять новых пользователей. Все соответствующие приглашения обрабатываются Facebook и отправляются на ящик личных сообщений Facebook Messages, а также на электронный адрес, привязанный к учетной записи приглашенного. Как оказалось, несмотря на установленные пользователями настройки конфиденциальности, возможно получить доступ к почтовому адресу любого подписчика соцсети.

ДеВосс обнаружил, что при отмене приглашения в разделе «Роли страницы» в мобильной версии Facebook, происходит перенаправление на страницу с URL, содержащим полный адрес электронной почты пользователя, которому отправлялся запрос.

По словам исследователя, злоумышленники могут воспользоваться уязвимостью для осуществления целевых фишинговых атак или другой вредоносной деятельности. ДеВосс проинформировал Facebook о проблеме и в настоящее время уязвимость уже устранена. В качестве награды компания выплатила эксперту $5 тыс.

securitylab.ru

👁 14
comments powered by HyperComments

Оцените статью
Рейтинг: 1Рейтинг: 2Рейтинг: 3Рейтинг: 4Рейтинг: 5 (средняя оценка: 5,00)