Facebook propust – zlatni rudnik za sajber-kriminalce

Društvene mreže, 13.08.2010, 00:26 AM

Facebook propust – zlatni rudnik za sajber-kriminalce

Bag u Facebook-ovom login sistemu omogućava napadačima da sparuju imena i prezimena korisnika sa nepoznatim email adresama, čak i u slučajevima kada su korisnički nalozi podešeni tako da ovi podaci nisu javni.

Ovaj propust, kojeg je u sredu objavio Atul Agarwal na sajtu seclist.org, može biti korišćen u hakerskim napadima, pa ga čak može iskoristiti i svako ko želi da sazna ko je osoba koja stoji iza anonimne email poruke. Ako adresa pripada nekom od od 500 miliona korisnika Facebook-a, osoba koja koristi ovaj bag će dobiti informaciju u vidu punog imena i prezimena i slike koja pripada određenom nalogu.

Ako neko unese email adresu koja pri tom pripada Facebook korisniku i bilo koju lozinku, Facebook će uzvratiti stranom na kojoj piše "Please re-enter your password" ("Molimo vas da ponovo unesete lozinku"), pri čemu će se na toj strani naći fotografija i puno ime i prezime Facebook korisinka koji je vlasnik te adrese. Ova funkcija je namenjena kao pomoć korisnicima koji pogreše pri unosu podataka na login strani, ali isto tako može poslužiti i lošim momcima za prikupljanje podataka o korisnicima Facebook-a. Dovoljno je da se napiše script koji unosi email adrese na Facebook login strani i potom da se zabeleže prava imena korisnika.

Facebook korisnici ne mogu da urade ništa povodom ovoga, s obzirom da se radi o programskom propustu. Iz Facebook-a poručuju da se svesni problema i da rade na njegovom rešenju.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Facebookov alat za proveru bezbednosti naloga od sada dostupan svim korisnicima

Facebookov alat za proveru bezbednosti naloga od sada dostupan svim korisnicima

Facebook je juče objavio Security Checkup, bezbednosnu proveru koja korisnicima pruža uvid u dostupne bezbednosne alate, informacije o tome koje su ... Dalje

Google+ i YouTube se najzad razdvajaju

Google+ i YouTube se najzad razdvajaju

Googleov ambiciozni projekat, društvena mreža Google+, pokrenuta je uz veliku pompu, ali četiri godine kasnije jasno je da Google+ nije ispunio oč... Dalje

Nećete verovati šta će se desiti kada kliknete na naslov ''Nećete verovati...''

Nećete verovati šta će se desiti kada kliknete na naslov ''Nećete verovati...''

Ako vam nije poznar termin, “clickbait” je web sadržaj koji je kreiran na takav način da privlači pažnju korisnika koji će zbog radoz... Dalje

Fišeri kradu podatke korisnika uz pomoć lažnog Twitter profila za verifikaciju

Fišeri kradu podatke korisnika uz pomoć lažnog Twitter profila za verifikaciju

Više od 18000 korisnika Twittera koji su želeli da verifikuju svoje naloge prevareno je uz pomoć jednog lažnog naloga sa koga im je obećavana ova... Dalje

LinkedIn tvrdi da je privatni program za nagrađivanje bagova bolji od javnog

LinkedIn tvrdi da je privatni program za nagrađivanje bagova bolji od javnog

Programi nagrađivanja istraživača za odgovorno prijavljivanje propusta u programima su postali veoma popularni među kompanijama koje drže do svoj... Dalje