As tentativas de login do Facebook que falharam revelam informações privadas

Experimente Nosso Instrumento Para Eliminar Problemas

O Facebook não parece parar hoje em dia no que diz respeito à privacidade. Um novo bug foi descoberto na quarta-feira pelo pesquisador Atul Agarwal, que permitia a qualquer pessoa associar um endereço de e-mail ao nome de um usuário do Facebook e foto de perfil.

O Facebook projetou o processo de login para fornecer informações adicionais ao usuário se a combinação de e-mail e senha usada para fazer login não corresponderem.

Em vez de apenas exibir um aviso de que as informações de login não estavam corretas, o Facebook deu um passo adiante e exibiu as informações de 'Login como' na página. Isso incluía a foto do perfil do usuário e o nome completo, independentemente das configurações de privacidade do usuário no Facebook.

Atul descreveu o problema em detalhes em Seclists :

Algum tempo atrás, notei um problema estranho com o Facebook, eu tinha acidentalmente inserido a senha errada no Facebook, e ele mostrava meu nome e sobrenome com foto de perfil, junto com a mensagem de senha incorreta. Achei que o fato de estar mostrando o nome tinha algo a ver com os cookies armazenados, então tentei outros ids de e-mail, e foi o mesmo. Eu me perguntei sobre as possibilidades e escrevi uma ferramenta POC para testá-la.

Este script extrai o nome e o sobrenome (fornecidos pelos usuários quando eles se inscrevem no Facebook). O Facebook é gentil o suficiente para retornar o nome mesmo se a combinação de e-mail / senha fornecida estiver errada. Além disso, também
fornece a foto do perfil (este script não a coleta, mas também é fácil de adicionar). Os usuários do Facebook não têm controle sobre isso, pois isso funciona mesmo quando você define todas as configurações de privacidade corretamente. Colher esses dados é muito fácil, pois pode ser facilmente contornado usando um monte de proxies.

facebook login privacy
privacidade de login do facebook

O problema foi corrigido em tempo recorde pelo Facebook. No entanto, significa que
o problema de privacidade podia ser explorado por todos, incluindo usuários sem conta no Facebook, até que a correção fosse aplicada.

Em inglês simples, qualquer pessoa que descobrisse o problema era capaz de vincular endereços de e-mail a nomes reais e fotos de perfil no Facebook, mesmo sem uma conta.

Atacantes dedicados podem ter usado a automação para extrair as informações em massa do Facebook.

O código de prova de conceito que Atul escreveu mostrou que usuários mal-intencionados podem ter explorado o problema para criar um enorme banco de dados de endereços de e-mail vinculados e nomes completos, o que pode ser desastroso se usado em campanhas de phishing ou outros usos maliciosos.