从上个月仍然聪明,社交媒体巨头仍然从上个月达到了500万的手机号码,社交媒体巨头有一个新的隐私危机来竞争:一个工具,在大规模的规模上,将Facebook帐户与他们的相关电子邮件地址联系起来,即使用户选择设置以防止其公开。
周二的视频播放了一台研究员,演示了一个名为Facebook电子邮件搜索V1.0的工具,他说可以将Facebook账户链接到每天多达500万的电子邮件地址。研究人员 - 谁说他在Facebook说它没有认为他发现的弱点是"重要的"足够固定的工具是一个65,000个电子邮件地址的列表,并观看了接下来发生的事情。
"您可以从输出日志中看到,我从中获得大量结果,"研究人员表示,视频显示该工具攻击地址列表。 "我花了10美元购买200奇的Facebook帐户。在三分钟内,我已经设法为6,000 [电子邮件]帐户执行此操作。"
ARS在不共享的视频上获得了视频的视频。在本帖子末尾出现完整的音频成绩单。
在声明中,Facebook说:"在路由到适当的团队之前,我们似乎错误地关闭了此错误奖励报告。我们赞赏研究人员分享信息,并正在采取初步行动来减轻这个问题,同时我们跟进更好地了解他们的发现。"
Facebook代表在询问的问题上,询问该公司是否告诉研究员,考虑到足以保证修复的漏洞。代表表示,Facebook工程师认为,通过禁用视频中所示的技术,他们已经缓解了泄漏。
ars同意不识别的研究人员说,Facebook电子邮件搜索已利用他最近向Facebook报告的前端漏洞,但是它们[Facebook]不考虑足以修补。&# 34;今年早些时候,Facebook的漏洞最终是固定的。
"这基本上是完全相同的漏洞,"研究人员说。 "出于某种原因,尽管我向Facebook展示并使其意识到这一点,他们直接告诉我,他们不会采取行动。"
Facebook一直在冒险不仅用于为这些大规模的数据提供手段,而且为了积极推动他们对Facebook用户造成最小风险的想法。一封电子邮件,该公司无意中向记者送到荷兰公布Dateanews指示公共关系人们向"框架这是一个广泛的行业问题,并使这项活动定期发生的事实。" Facebook还在刮擦和黑客或违规之间的区别。
它&#39 "我相信这是一个非常危险的脆弱性,我想帮助获得停止,"研究人员说。
因此,我想演示的是Facebook内的积极漏洞,它允许恶意用户在Facebook内查询电子邮件地址,并将Facebook返回任何匹配的用户。
这与Facebook的前端漏洞有效,我向他们报告了,使他们意识到,嗯,他们不认为是足够的重要待修补 - 我认为这是非常重要的隐私违规和一个大问题。
此方法目前正在通过软件使用,该软件现在可以在黑客社区内提供。
目前&#39被用来妥协Facebook账户,以便接管页面组,呃,Facebook广告账户显然是货币收益。我在没有JS中设置了这个可视示例。
什么我在这里完成了,是我拍了250岁的Facebook帐户,新注册的Facebook账户,其中我在线购买了大约10美元。
我已经查询或i' m查询65,000个电子邮件地址。当您可以从输出日志中看到的那样,我' m来自它们的大量结果。
如果我看一下输出文件,你可以看到我有一个用户标识名称和符合我所用的输入电子邮件地址的电子邮件地址。现在我有,正如我所说,我花了10美元购买200奇的Facebook账户。在三分钟内,我已经设法为6,000个账户执行此操作。
我以更大的规模测试了这个,可以使用此目的是可靠地提取500万封电子邮件地址。
现在,今年早些时候与Facebook存在现有的漏洞,这是修补的。这基本上是完全相同的漏洞。出于某种原因,尽管我已经向Facebook展示并让他们意识到这一点,他们直接告诉我,他们不会采取行动。
所以我伸向像你这样的人,希望你能使用你的影响力或联系来获得这一点,因为我非常非常自信,这不仅是一个巨大的隐私违规,但这会导致新的,另一个大型数据转储,包括电子邮件,该电子邮件将允许不受欢迎的派对,而不仅要拥有这些电子邮件到用户ID匹配,而且还要将电子邮件地址追加到Phone号码,这些电话号码在以前的漏洞中可用。我很高兴展示前端漏洞,所以你可以看到这是如何工作的。
我不会在这个视频中展示它,只因为我不希望视频是,嗯,我不希望被剥削的方法是因为&#39。但如果是必要的话,我很乐意展示它。但正如您所看到的,它越来越省去。我相信这是一个相当危险的脆弱性,我希望帮助实现这一目标。
🎧声音不对的东西? 查看我们最喜欢的无线耳机,声栏和蓝牙音箱