Błąd w systemie logowania na Facebooka pozwala napastnikowi na podstawia adresu email poznać imię i nazwisko posiadacza adresu poczty.

Wyciek danych może być wykorzystywany przez oszustów inżynierii społecznej, phisherzy albo osoba, która będzie ciekawa, kto kryje się za danym adresem email. Jeżeli adres należy do jedne z 500 milionów aktywnych użytkowników Facebooka serwis zwróci przy niewłaściwym logowaniu imię i nazwisko oraz zdjęcie użytkownika, który kryje się pod danym adresem.

"Użytkownicy Facebooka nie mają kontroli nad działaniem serwisu, nawet, jeżeli ustawione zostaną reguły prywatności" napisał Atul Agarwal z Secfence Technologies. "Zbieranie danych jest bardzo proste, ponieważ można łatwo obejść używając serwerów proxy" dodał Agarwal.

Wykorzystywanie luki jest bardzo proste wystarczy wpisać cudzy adres email w Facebooka w polu logowania oraz losowe hasło. Po naciśnięciu klawisza enter ukaże się strona czy jesteśmy osobą kryjącą się pod adresem email oraz zdjęcie osoby (o, ile profil posiada zdjęcie). W ciągu ostatnich lat Facebook jest krytykowany za ujawnianie zbyt wielu informacji na temat swoich użytkowników. Dane o rodzinie, przyjaciołach, daty urodzin, miast, w których przebywa użytkownik mogą być wykorzystywane przez reklamodawców. Serwis społecznościowy odpowiada na te zarzuty dając większą prywatność użytkownikom, ale co rusz zdarzają mu się wpadki.

Źródło: theregister