Не прошло и месяца с последней утечки в Facebook, которая затронула 500 млн пользователей, как социальной сети предсказывают новый кризис, сообщает портал Ars Technica. ИБ-исследователь, пожелавший остаться неизвестным, обнаружил инструмент Facebook Email Search v1.0, который может связывать аккаунты Facebook с электронными адресами. Мощность инструмента позволяет ему идентифицировать пользователей социальной сети Цукерберга в крупных масштабах — до 5 млн человек в день.
Как пояснил «Газете.Ru» эксперт по ИБ компании AT Consulting (входит в Лигу цифровой экономики) Андрей Слободчиков, работа инструмента заключается в том, что в программу подгружается база данных известных email-адресов, затем программа отправляет эти адреса для сверки на стороне Facebook. Если сверяемый email-адрес зарегистрирован на Facebook, алгоритмы соцсети возвращают обратно связку email плюс учетная запись на Facebook.
«Таким образом, злоумышленники могут формировать базу данных из следующих атрибутов: email-адрес пользователя, его идентификатор в Facebook – уникальный ID социальной сети, а также полное имя, указанное на площадке», — сообщил Слободчиков.
Исследователь выяснил, что Facebook Email Search v1.0 эксплуатирует фронтенд-уязвимость платформы, и обратился со своей находкой в администрацию Facebook, но там, по его словам, не посчитали эту уязвимость достаточно «серьезной», чтобы ее исправлять.
Пока нет данных о том, воспользовались ли злоумышленники этой брешью, чтобы создать массивную базу данных электронных адресов пользователей Facebook, но было б наивно предполагать, что киберпреступность может пройти мимо такой возможности. «Я считаю, что это — очень опасная уязвимость, и я хотел бы оказать содействие в том, чтобы ее устранить», — заявил ИБ-исследователь.
По словам эксперта, обнаружившего уязвимость, она позволяет взламывать учетные записи Facebook с целью захвата страниц и рекламных учетных записей для получения денежной выгоды. Но потенциал этой уязвимости гораздо шире, предупредил Луис Корронс, евангелист по вопросам информационной безопасности Avast.
«Уязвимость может привести к очередной массовой утечке данных пользователей Facebook, включая адреса электронной почты.
Таким образом, злоумышленники смогут не только сопоставить электронную почту с ID пользователя, но и добавить эти данные к уже имеющимся у них номерам телефонов, которые стали доступны в результате предыдущих утечек», — заявил Корронс.
Безусловно, никто не должен иметь возможность запрашивать базу данных Facebook таким образом, чтобы спровоцировать утечку личных записей, согласился Одед Вануну, глава Check Point Software Technologies по исследованию уязвимостей продуктов. По словам Вануну, эта уязвимость может позволить создать базу данных пользователей и электронных писем Facebook для дальнейших вредоносных действий.
Маргарита Герасюкова