Niedociągnięcia w systemie bezpieczeństwa najpopularniejszego ostatnio serwisu społecznościowego – Facebook, pozostawiają furtki otwarte dla potencjalnych napastników, mogących je wykorzystać do własnych celów i dla własnych korzyści.

Wspomniana luka może spowodować, że osoba, która ją wykorzysta, zdobędzie wszystkie dane osobowe wybranego użytkownika serwisu Facebook. Wystarczy, że napastnik będzie znał lub zgadnie numer telefonu danej osoby. Skorzystanie z luki umożliwia uzyskanie dostępu do podstawowych danych personalnych, obrazów, miejsc pobytu, polubieni i innych informacji profilowych. Niedociągnięcie odkryte zostało przez Reza Moaiandina, dyrektora technicznego w firmie SEO – Salt Agency, przez zupełny przypadek.

W czym problem?

Sęk problemu tkwi w opcji, udostępnianej przez Facebooka, która zezwala na wyszukanie dowolnej osoby w serwisie, jedynie po wpisaniu jej numeru telefonu w polu wyszukiwania. Jeżeli ktoś posiada wiedzę na jakiej zasadzie zabezpieczenie niedomagało, mógł utworzyć skrypt, który automatycznie tworzył i sprawdzał kombinacje liczb i odkrywał Facebook ID użytkowników.

Informacje te mogą zostać wrzucone w Facebook GraphQL, które serwis wykorzystuje do organizacji swoich danych oraz do wyświetlania i zachowywania informacji jakie posiada od poszczególnych użytkowników portalu.

Większość informacji jest dostępnych publicznie, jednak odkrywca luki obawia się, że skompletowanie ich wielkiej ilości, czyli dotyczącej dużej grupy użytkowników, może zostać w łatwy sposób zmiksowane z innymi skradzionymi danymi, co w rezultacie spowodowałoby ukazanie bardzo kompleksowych informacji na temat różnych osób.

Czy Facebook naprawia problem?

Moaiandin kontaktował się z Facebookiem w sprawie wady w kwietniu bieżącego roku, a gdy otrzymał odpowiedź okazało się, że inżynier, z którym się komunikował nie był w stanie odtworzyć problemu. Po kilku miesiącach Facebook jakby zapomniał o problemie i nie uznał go za lukę w zabezpieczeniach, dlatego Moaiandin uznał, że upublicznienie sprawy będzie jedynym skutecznym sposobem na przyciągnięcie uwagi serwisu.

Problem powinien dać się rozwiązać za pomocą wprowadzenia ograniczenia żądań od jednego użytkownika oraz wzorców wykrywania i pre-szyfrowania wszystkich swoich danych.

Jak możemy się chronić?

Warto wejść do elementu Ustawień, a następnie kliknąć w Prywatność. Tam pojawia się opcja „Kto może mnie wyszukać?” i w pozycji „Kto może Cię wyszukać za pomocą numeru telefonu podanego przez Ciebie?” wybrać „Znajomi”. Po zmianie tego ustawienia będziemy stosunkowo bezpieczni.