실패한 Facebook 로그인 시도로 개인 정보 공개
- 범주: 페이스 북
페이스 북은 프라이버시에 관해서는 쉬지 않는 것 같습니다. 연구원 Atul Agarwal이 수요일에 새로운 버그를 발견하여 누구나 이메일 주소를 Facebook 사용자의 이름 및 프로필 사진과 일치시킬 수있었습니다.
Facebook은 로그인에 사용 된 이메일과 비밀번호 조합이 일치하지 않는 경우 사용자에게 추가 정보를 제공하도록 로그인 프로세스를 설계했습니다.
로그인 정보가 정확하지 않다는 경고 만 표시하는 대신 Facebook은 한 단계 더 나아가 페이지에 '다음으로 로그인'정보를 표시했습니다. 여기에는 Facebook에서 해당 사용자의 개인 정보 설정에 관계없이 사용자의 프로필 사진과 전체 이름이 포함되었습니다.
Atul은 문제를 자세히 설명했습니다. Seclists :
언젠가 Facebook에 이상한 문제가 있음을 발견하고 실수로 Facebook에 잘못된 비밀번호를 입력했으며 프로필 사진과 함께 내 성과 이름이 잘못된 비밀번호 메시지와 함께 표시되었습니다. 이름을 보여주고 있다는 사실이 쿠키가 저장된 것과 관련이 있다고 생각해서 다른 이메일 아이디도 시도 해봤는데 똑 같았습니다. 나는 가능성에 대해 궁금해하고 그것을 테스트하기 위해 POC 도구를 작성했습니다.
이 스크립트는 사용자가 Facebook에 가입 할 때 제공 한 성과 이름을 추출합니다. 제공된 이메일 / 비밀번호 조합이 잘못된 경우에도 Facebook은 친절하게 이름을 반환합니다. 더 나아가 그것도
프로필 사진을 제공합니다 (이 스크립트는 그것을 수집하지는 않지만 추가하기 쉽습니다). Facebook 사용자는 모든 개인 정보 설정을 올바르게 설정 한 경우에도 작동하므로이를 제어 할 수 없습니다. 많은 프록시를 사용하여 쉽게 우회 할 수 있으므로이 데이터를 수집하는 것은 매우 쉽습니다.
이 문제는 Facebook에서 기록적인 시간 내에 수정되었습니다. 그러나 그것은
개인 정보 문제는 수정 사항이 적용될 때까지 Facebook 계정이없는 사용자를 포함하여 모든 사람이 악용 할 수있었습니다.
평범한 영어로이 문제를 발견 한 사람은 누구나 계정 없이도 Facebook의 실제 이름과 프로필 사진에 이메일 주소를 연결할 수있었습니다.
전담 공격자는 자동화를 사용하여 Facebook에서 정보를 대량으로 추출했을 수 있습니다.
Atul이 작성한 개념 증명 코드는 악의적 인 사용자가이 문제를 악용하여 연결된 이메일 주소와 전체 이름의 거대한 데이터베이스를 만들 수 있음을 보여 주며, 피싱 캠페인이나 기타 악의적 인 사용에 사용되면 재앙이 될 수 있습니다.