Facebook: σφάλμα επέτρεπε τη διαρροή προσωπικών δεδομένων

Η εταιρεία ασφαλείας Imperva ανακάλυψε ένα σφάλμα το Μάιο που επέτρεπε σε ιστοσελίδες να έχουν πρόσβαση στα δεδομένα χρηστών του Facebook αλλά και στις προσωπικές πληροφορίες των φίλων τους.

Το bug επέτρεπε σε ιστοσελίδες να έχουν πρόσβαση στις προτιμήσεις και τα ενδιαφέροντα των χρηστών μέσω ενός ερωτήματος στο Graph search του Facebook. Ευτυχώς, το πρόβλημα έχει επιδιορθωθεί ήδη από το μεγαλύτερο .Facebook

Ο ερευνητής της Imperva, Ron Masas, ανακάλυψε τον Μάιο ότι το Faceboοk επέτρεπε επιθέσεις cross-site request forgery (CSRF). Αυτό σημαίνει ότι κάποιος άλλος ιστότοπος θα μπορούσε να έχει πρόσβαση σε δεδομένα χρήστών του Facebook μέσω ερωτημάτων στον κώδικα.

Για να εκμεταλλευτεί το σφάλμα μια ιστο, θα έπρεπε να χρησιμοποιήσει ένα iframe που εμφάνιζε το faceboοk μέσα στις σελίδες της.

Έτσι αν κάποιος που ήταν συνδεδεμένος στο Facebook επισκεπτόταν την σελίδα με τον κακόβουλο κώδικα, το script άρχιζε να συγκεντρώνει δεδομένα αποστέλλοντας ερωτήματα στο κοινωνικό μέσω του Graph search: “Έχει ο χρήστης φίλους;” ή “Έχει φίλους στον Καναδά;”

Μπορείτε να δείτε ένα παράδειγμα στο παρακάτω βίντεο.

Ο ερευνητής Ron Masas της Imperva ανέφερε επίσης ότι η επέτρεπε και την πρόσβαση στα δεδομένα των φίλων των χρηστών, ακόμη και αν οι πληροφορίες ήταν ορατές μόνο για φίλους.

Ένας εκπρόσωπος του Faceboοk όμως δήλωσε στο TechCrunch ότι δεν υπήρξε κάποια απώλεια δεδομένων. Να αναφέρουμε ότι η εταιρεία Imperva κέρδισε 8.000 δολάρια για δύο ξεχωριστά σφάλματα που ανακοίνωσε στο Facebook.

Η ιστορία έρχεται να μας υπενθυμίσει ότι δεν υπάρχει . Από την στιγμή που τα δεδομένα σας αποθηκεύονται στο internet σταματάνε να είναι δικά σας και γίνονται κοινόχρηστα με τον πρώτο που θα καταφέρει να το σύστημα.

_______________

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).