最好避免使用“我是Facebook的”网站

2021-04-07 08:31:15

互联网是一个有趣的地方!船只阻挡了苏伊士运河,有人很快建立一个网站,在每个人的心灵中回答一个简单的问题:这艘船仍然陷入困境吗? (https://istheshipstillstuck.com/)。 yayy!赢得互联网!

一周之后,Facebook数据的Troves泄露,有人建立一个网站来回答每个人的想法:我一直在脸书吗? (https://haveibeenfacebooked.com/)Yayy!?错误......也许,有点,实际上它取决于。

这种缺乏禧的原因很简单:对于本网站的作者来说是琐碎的容易破译在该文本框中输入的电话号码。这种系统的加密声音设计将确保甚至是网站的作者来说是不可能的(合理不可能的),以了解您输入的电话号码。这里情况不同。在这里,你只需要相信他们做正确的事情。

在我们继续之前,您可能会问:如何了解我的数据是否已在Facebook漏洞中泄露?答案是:使用hibp,或https://haveibeenpwned.com/。他们已经获得了这个过程的技术(和社会)比特权!

回到本网站。在网站上的索赔是您的电话号码从未离开浏览器。这绝对是正确的。而且,这意味着什么。

在下面的这个例子中,我提供+1(1111 )111-1111作为我的电话号码。在粗略的外观上,当我按下“搜索”按钮时,浏览器看起来像一些加密哈希。

本网站的作者可以访问此字符串。只是询问谷歌,这字符串意味着在这里足够。没有彩虹表,没有GPU饼干,没有逆向工程。作为Google有效地说明,发送到后端的字符串是电话号码的SHA256哈希。在这种情况下,Google正确地显示了该哈希的预测是11111111111

如果您是那些对您的电子邮件和电话号码持谨慎态度的类型之一,这是一个避免的网站。

当然,并非所有的哈希都会在谷歌上搜索到上面的Google。但是,它只需要预先计算所有电话号码及其相应的哈希才能创建一个散列字典。鉴于泄漏只有一半的记录,这样的计算可能只是在笔记本电脑上需要几秒钟。

您只将您的电话号码提供给本网站,还可以将您的IP地址泄漏,泄漏您的近似位置(除非您在VPN或TOR)。

本网站上的索赔使人们认为输入的电话号码未被发送到后端,因此给出了虚假的隐私感。事实上,发送到后端的事实可以普遍颠倒到原始电话号码。

对于大多数人来说,这些事情并不是什么大不了的事。默认情况下,我们无论如何,我们自愿向大量网站提供我们的电子邮件地址,电话号码和IP地址。但这些问题是在冲动地将他们的详细信息冲洗到这样的文本框中的问题之前应该问!仅仅因为网站说了一些东西 - 即使该陈述是真的,这里就是这一案子 - 并不意味着它是所有的犹太人。

顺便说一下,我仍然惊讶Facebook尚未向他们发送停止和停止的域名侵权!