В Facebook обнаружена новая серьезная уязвимость

В Cети появилась программа, которая сопоставляет адрес электронной почты с аккаунтом в социальной сети Facebook даже тогда, когда пользователь выключил поиск своего аккаунта по e-mail в настройках конфиденциальности. Об этом сообщает издание arstechnica.com.

В распоряжении журналистов оказалось видео от специалиста по компьютерной безопасности, который показал, как работает данный инструмент. Принцип работы программы очень простой - в нее загружается база из адресов электронной почты, а после чего программа "смотрит" свою базу и выдает результат. Например, всего за 3 минуты можно получить более 6 тыс. пар, в которых будут сопоставлены аккаунты на Facebook и соответствующий адрес электронной почты. Как пишет издание, специалист уже предупредил Facebook о найденной уязвимости, но в компании посчитали ее "недостаточно важной".

Однако пресс-служба соцсети сообщила следующее: "Мы по ошибке закрыли данное сообщение вместо того, чтобы перенаправить его ответственным сотрудникам. Безусловно, мы ценим, что исследователь сообщил нам об этой проблеме и предпринимаем действия для ее решения".

По мнению Ярослава Бабина, руководителя отдела анализа защищенности веб-приложений Positive Technologies, в данном случае приложение лишь автоматизирует действия для получения информации, а всю опасность представляет потенциальная уязвимость в приложении Facebook.

Такие скрипты опасны тем, что они собирают информацию об архитектуре веб-ресурса, которая позволяет им получить данные, которые находятся как в открытом, так и закрытом доступе, добавил Даниил Чернов, директор центра Solar appScreener компании "Ростелеком-Солар". "Метод сбора был реализован через уязвимость платформы, которую допустили разработчики сложной распределенной архитектуры веб-приложения Facebook", - сказал он.

Специалист уверен, что злоумышленники могут использовать парсинг (автоматизированный процесс сбора данных - прим. "РГ") для сбора данных о пользователях, после чего провести массовую фишинговую атаку. Сценарий и механика атаки будет зависеть от тех данных, которые парсеру удастся собрать. "Подобный инструмент также может быть использован для обогащения уже утекших баз данных. Это позволит хакерам составить более детальный портрет пользователей, благодаря чему провести более успешную атаку. Кроме того, хакеры могут продать полученные данные в darknet, а как распорядятся ими покупатели, неизвестно. Они могут использовать их как для рассылки спама, так и для мошенничества", - резюмирует Чернов.

В "Лаборатории Касперского" порекомендовали пользователям по возможности регистрировать учетные записи на разовые email-адреса, для этого есть специальные сервисы. По их мнению, это не позволит злоумышленникам воспользоваться этими данными после той или иной утечки.

Это уже не первая серьезная уязвимость в социальной сети, которая была обнаружена специалистами. Так, в начале апреля в открытом доступе появились личные данные 533 млн пользователей Facebook.