En censurerad bild av programvaran Facebook Email Search v1.0. Ars Technica
Hackare använder en programvara som heter Facebook Email Search v1.0 för att avslöja miljontals Facebook-användares e-postadresser, även om adresserna är inställda på privata. Denna användardata, tillsammans med de 533 miljoner telefonnumren som läckte ut från Facebook för bara några veckor sedan, kan hjälpa hackare att bryta sig in på konton eller bygga en databas med Facebook-användares privata information.
Facebook Email Search v1.0 utnyttjar en front-end sårbarhet på Facebooks webbplats. Den länkar automatiskt användar-ID:n till deras associerade e-postadress, vilket gör att en enda hacker kan säkra cirka 5 miljoner e-postadresser per dag. Facebook säger att det korrigerade en nästan identisk sårbarhet tidigare i år, även om problemet uppenbarligen förblir olöst.
I ett samtal med Ars Technica hävdar en icke namngiven forskare att han demonstrerat utnyttjandet för Facebook, men att sociala mediejätten valde att ignorera frågan. Facebook sa till forskaren att de "inte anser att [sårbarheten] är tillräckligt viktig för att åtgärdas", trots att det är en tydlig säkerhetsrisk och en kränkning av användarnas integritet.
Redo för en dubbeltjuv? Facebook ignorerade inte bara sårbarheten, utan uppmuntrar aktivt sina PR-representanter att tona ned och normalisera dataintrång. Ett internt Facebook-e-postmeddelande som av misstag skickades till journalister på Data News efter läckan av telefonnummer den 5 april säger följande:
LÅNGSIKTIG STRATEGI: Förutsatt att pressvolymen fortsätter att minska, planerar vi inga ytterligare uttalanden i denna fråga. På längre sikt förväntar vi oss dock fler skrapningsincidenter och tycker att det är viktigt att både rama in detta som en bred branschfråga och normalisera det faktum att detta aktivt sker regelbundet. För att göra detta föreslår teamet ett uppföljande inlägg under de kommande veckorna som talar mer allmänt om vårt anti-skrapningsarbete och ger mer insyn kring hur mycket arbete vi gör inom detta område. Även om detta kan återspegla en betydande volym av skrapningsaktivitet, hoppas vi att detta kommer att bidra till att normalisera det faktum att denna aktivitet pågår och undvika kritik om att vi inte är transparenta om specifika incidenter.
Hundratals miljoner Facebook-användare har fått sin privata information äventyrad denna månad på grund av två separata webbsidor. Och inför denna "betydande volym av skrapningsaktivitet" hoppas Facebook kunna normalisera läckor och medger att datadumpar "pågår". För en webbplats som är besatt av att samla in användardata är Facebooks försumlighet en stor röd flagga.
Facebook uppger nu att de "felaktigt stängde ut den här buggpremierapporten innan den skickades till lämpligt team" och att det för närvarande undersöker problemet. Det är inte klart när företaget faktiskt kommer att korrigera denna sårbarhet eller hur många konton som har påverkats. Den aktuella effekten av den läckta användardatan är också okänd.
Källa: Ars Technica, Data News