你自己。 Facebook在手上有一个新的大型漏洞

2021-04-22 12:27:31

从上个月仍然聪明,社交媒体巨头仍然从上个月达到了500万的手机号码,社交媒体巨头有一个新的隐私危机来竞争:一个工具,在大规模的规模上,将Facebook帐户与他们的相关电子邮件地址联系起来,即使用户选择设置以防止其公开。

周二的视频播放了一台研究员,演示了一个名为Facebook电子邮件搜索V1.0的工具,他说可以将Facebook账户链接到每天多达500万的电子邮件地址。研究人员 - 谁说他在Facebook说它没有认为他发现的弱点是"重要的"足够固定的工具是一个65,000个电子邮件地址的列表,并观看了接下来发生的事情。

"您可以从输出日志中看到,我从中获得大量结果,"研究人员表示,视频显示该工具攻击地址列表。 "我花了10美元购买200奇的Facebook帐户。在三分钟内,我已经设法为6,000 [电子邮件]帐户执行此操作。"

ARS在不共享的视频上获得了视频的视频。在本帖子末尾出现完整的音频成绩单。

在声明中,Facebook说:"在路由到适当的团队之前,我们似乎错误地关闭了此错误奖励报告。我们赞赏研究人员分享信息,并正在采取初步行动来减轻这个问题,同时我们跟进更好地了解他们的发现。"

Facebook代表在询问的问题上,询问该公司是否告诉研究员,考虑到足以保证修复的漏洞。代表表示,Facebook工程师认为,通过禁用视频中所示的技术,他们已经缓解了泄漏。

ars同意不识别的研究人员说,Facebook电子邮件搜索已利用他最近向Facebook报告的前端漏洞,但是它们[Facebook]不考虑足以修补。&# 34;今年早些时候,Facebook的漏洞最终是固定的。

"这基本上是完全相同的漏洞,"研究人员说。 "出于某种原因,尽管我向Facebook展示并使其意识到这一点,他们直接告诉我,他们不会采取行动。"

Facebook一直在发火灾时,不仅用于为这些大规模收集数据提供手段,而且这也是积极尝试推广他们对Facebook用户造成最小伤害的想法的方式。一封电子邮件Facebook无意中向荷兰公布Datanews发送到记者,指示公共关系人们"框架这是一个广泛的行业问题,并使这项活动发生定期的事实。" Facebook还在刮擦和黑客或违规之间的区别。

它&#39 "我相信这是一个非常危险的脆弱性,我想帮助获得停止,"研究人员说。

因此,我想演示的是Facebook内的积极漏洞,它允许恶意用户查询,UM,Facebook内的电子邮件地址,并具有Facebook返回,任何匹配的用户。

嗯,这与Facebook的前端漏洞有效,我向他们报告了,让他们意识到,嗯,他们不认为是足够重要的待修补,呃,我认为是这样的相当重大,呃,隐私违规和一个大问题。

此方法目前正在软件中使用,即现在在黑客社区内可用。

目前&#39被用来妥协Facebook账户,以便接管页面组,呃,Facebook广告账户显然是货币收益。 UM,I'在没有JS中设置此视觉示例。

在这里完成了什么是我' uh,uh,250 facebook帐户,新注册的facebook帐户,我在线购买了大约10美元。

嗯,我已经查询或i' m查询65,000个电子邮件地址。当您可以从输出日志中看到的那样,我' m来自它们的大量结果。

如果我看一下输出文件,你可以看到我有一个用户标识名称和符合我所用的输入电子邮件地址的电子邮件地址。现在我有,正如我所说,我花了10美元,你可以使用两个来购买200多个Facebook帐户。在三分钟内,我已经设法为6,000个账户执行此操作。

我以更大的规模测试了这个,可以使用此目的是可靠地提取500万封电子邮件地址。

现在,今年早些时候与Facebook,UH有现有漏洞,这是修补的。这基本上是完全相同的漏洞。出于某种原因,尽管我已经向Facebook展示并让他们意识到这一点,但是,他们已经直接告诉我,他们不会对它采取行动。

所以我伸出了自己,呃,呃,希望你能使用你的影响力或联系来获得这一点,因为我非常非常自信。

这不仅仅是一个巨大的隐私违规,但这将导致新的另一个大型数据转储,包括电子邮件,这将允许不受欢迎的派对,不仅要拥有这一点,请uh,电子邮件给用户id匹配,而是要附加电子邮件地址到Phone号码,它在以前的违规者,um,i&#39中可用.M很高兴演示前端漏洞,因此您可以看到这是如何工作的。

我不会只是因为我不希望视频,嗯,我不想在这个视频中展示它。 展示它,如果是必要的话,但如果您可以看到,您可以看到越来越多的输出。 我相信这是一个非常危险的脆弱性,我想帮助获得停止。