Facebook propust – zlatni rudnik za sajber-kriminalce

Društvene mreže, 13.08.2010, 01:26 AM

Facebook propust – zlatni rudnik za sajber-kriminalce

Bag u Facebook-ovom login sistemu omogućava napadačima da sparuju imena i prezimena korisnika sa nepoznatim email adresama, čak i u slučajevima kada su korisnički nalozi podešeni tako da ovi podaci nisu javni.

Ovaj propust, kojeg je u sredu objavio Atul Agarwal na sajtu seclist.org, može biti korišćen u hakerskim napadima, pa ga čak može iskoristiti i svako ko želi da sazna ko je osoba koja stoji iza anonimne email poruke. Ako adresa pripada nekom od od 500 miliona korisnika Facebook-a, osoba koja koristi ovaj bag će dobiti informaciju u vidu punog imena i prezimena i slike koja pripada određenom nalogu.

Ako neko unese email adresu koja pri tom pripada Facebook korisniku i bilo koju lozinku, Facebook će uzvratiti stranom na kojoj piše "Please re-enter your password" ("Molimo vas da ponovo unesete lozinku"), pri čemu će se na toj strani naći fotografija i puno ime i prezime Facebook korisinka koji je vlasnik te adrese. Ova funkcija je namenjena kao pomoć korisnicima koji pogreše pri unosu podataka na login strani, ali isto tako može poslužiti i lošim momcima za prikupljanje podataka o korisnicima Facebook-a. Dovoljno je da se napiše script koji unosi email adrese na Facebook login strani i potom da se zabeleže prava imena korisnika.

Facebook korisnici ne mogu da urade ništa povodom ovoga, s obzirom da se radi o programskom propustu. Iz Facebook-a poručuju da se svesni problema i da rade na njegovom rešenju.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Bankarski Trojanac Zeus na Facebook-u

Bankarski Trojanac Zeus na Facebook-u

Šest godina star malver Zeus veoma omiljen među sajber kriminalcima pojavio se na Facebook-u, sakriven u infektivnim linkovima, upozorili su stručn... Dalje

Dvostepena verifikacija dostupna i korisnicima LinkedIn-a

Dvostepena verifikacija dostupna i korisnicima LinkedIn-a

Nedelju dana posle Twitter-a, i profesionalna društvena mreža LinkedIn ponudila je svom milionskom članstvu dvostepenu verifikaciju naloga, kao dod... Dalje

Lažno upozorenje o pravom upozorenju o zaključavanju Facebook naloga zbog malvera

Lažno upozorenje o pravom upozorenju o zaključavanju Facebook naloga zbog malvera

Ovih dana Facebook-om cirkuliše lažno upozorenje da korisnici koji vide iskačući prozor sa obaveštenjem o privremenom zaključavanju naloga zbog ... Dalje

Facebook započinje verifikaciju profila i fan stranica poznatih ličnosti i brendova

Facebook započinje verifikaciju profila i fan stranica poznatih ličnosti i brendova

Facebook je u sredu saopštio da će započeti proveru profila poznatih ličnosti kako bi mogao da garantuje korisnicima društvene mreže da su profi... Dalje

Stručnjaci upozoravaju: Twitter-ova dvostepena verifikacija neće zaustaviti hakerske napade

Stručnjaci upozoravaju: Twitter-ova dvostepena verifikacija neće zaustaviti hakerske napade

Dugo očekivana opcija dvostepene verifikacije naloga koju je Twitter ponudio korisnicima prošle nedelje mogla bi biti zloupotrebljena kada su u pita... Dalje