Цензуроване зображення програмного забезпечення Facebook Email Search v1.0. Ars Technica
Хакери використовують програмне забезпечення під назвою Facebook Email Search v1.0, щоб виявити мільйони адрес електронної пошти користувачів Facebook, навіть якщо для них встановлено приватні адреси. Ці дані користувачів у поєднанні з 533 мільйонами телефонних номерів, які витікали з Facebook лише кілька тижнів тому, можуть допомогти хакерам зламати облікові записи або створити базу даних особистої інформації користувачів Facebook.
Facebook Email Search v1.0 використовує вразливість інтерфейсу на веб-сайті Facebook. Він автоматично пов’язує ідентифікатори користувачів із пов’язаною з ними адресою електронної пошти, дозволяючи одному хакеру захистити близько 5 мільйонів електронних адрес на день. Facebook стверджує, що на початку цього року виправили майже ідентичну вразливість, хоча проблема, очевидно, залишається невирішеною.
У розмові з Ars Technica неназваний дослідник стверджує, що він продемонстрував експлойт Facebook, але гігант соціальних мереж вирішив проігнорувати цю проблему. Facebook сказав досліднику, що «не вважає [уразливість] достатньо важливою, щоб її виправити», незважаючи на те, що це явна загроза безпеці та порушення конфіденційності користувачів.
Готові до подвійного удару? Facebook не тільки проігнорував уразливість, але й активно заохочує своїх PR-представників применшувати та нормалізувати порушення даних. У внутрішньому електронному листі Facebook, випадково надісланому журналістам Data News після витоку номера телефону 5 квітня, зазначено наступне:
ДОВГОТРОКОВА СТРАТЕГІЯ: якщо припустити, що обсяги преси продовжують знижуватися, ми не плануємо додаткових заяв з цього приводу. Однак у довгостроковій перспективі ми очікуємо більше інцидентів зі скребком і вважаємо, що важливо як сформулювати це як широку галузеву проблему, так і нормалізувати той факт, що це відбувається регулярно. Для цього команда пропонує наступний пост у наступні кілька тижнів, у якому ширше розповідатиметься про нашу роботу по боротьбі зі скребком та забезпечується більша прозорість щодо обсягу роботи, яку ми виконуємо в цій області. Хоча це може відображати значний обсяг діяльності зі скрейпінгу, ми сподіваємося, що це допоможе нормалізувати той факт, що ця діяльність триває, і уникнути критики за те, що ми не прозорі щодо конкретних інцидентів.
Цього місяця сотні мільйонів користувачів Facebook були скомпрометовані через дві окремі вразливості веб-сайтів. І перед обличчям цього «значного обсягу скрейпінгу» Facebook сподівається нормалізувати витоки і визнає, що дампування даних «триває». Для веб-сайту, який одержимий збором даних користувачів, недбалість Facebook є серйозною ознакою.
Тепер Facebook заявляє, що «помилково закрив цей звіт про помилку, перш ніж направити до відповідної команди», і що наразі досліджує проблему. Неясно, коли компанія насправді виправить цю вразливість і скільки облікових записів постраждало. Поточний вплив витоку даних користувачів також невідомий.
Джерело: Ars Technica, Data News