Hackers χρησιμοποιούν ένα λογισμικό που ονομάζεται Facebook Email Search v1.0 για να αποκαλύψουν εκατομμύρια διευθύνσεις email χρηστών του Facebook, ακόμη και αν οι διευθύνσεις είναι ιδιωτικές.
Αυτά τα δεδομένα χρήστη, σε συνδυασμό με τους 553 εκατομμύρια τηλεφωνικούς αριθμούς που διέρρευσαν από το Facebook πριν από λίγες εβδομάδες, μπορούν να βοηθήσουν τους hackers να εισέλθουν σε λογαριασμούς ή να δημιουργήσουν μια βάση δεδομένων με προσωπικές πληροφορίες των χρηστών του Facebook.
Το Facebook Email Search v1.0 χρησιμοποιεί μια front-end ευπάθεια στον ιστότοπο του Facebook. Συνδέει αυτόματα τα αναγνωριστικά χρήστη με τη σχετική διεύθυνση ηλεκτρονικού ταχυδρομείου , επιτρέποντας σε έναν μόνο hacker να εξασφαλίσει περίπου 5 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου τη μέρα. Το Facebook αναφέρει ότι επιδιόρθωσε μια σχεδόν ίδια ευπάθεια νωρίτερα αυτό το έτος.
Σε μια συνομιλία με το Ars Technica, ένας ανώνυμος ερευνητής ισχυρίζεται ότι απέστειλε την ευπάθεια στο Facebook, αλλά το μεγαλύτερο κοινωνικό δίκτυο επέλεξε να αγνοήσει το θέμα. Το Facebook δήλωσε στον ερευνητή ότι “δεν θεωρεί ότι [η ευπάθεια] είναι αρκετά σημαντική ώστε να διορθωθεί”, παρά το γεγονός ότι αποτελεί σαφή κίνδυνο ασφάλειας και παραβίαση του απορρήτου των χρηστών του.
Το Facebook όχι μόνο αγνόησε την ευπάθεια, αλλά ενθαρρύνει ενεργά τους εκπροσώπους PR να υποβαθμίσουν και να “κανονικοποιήσουν” παραβιάσεις δεδομένων. Διαβάστε ένα εσωτερικό email του Facebook που στάλθηκε κατά λάθος σε δημοσιογράφο του Data News μετά τη διαρροή της 5ης Απριλίου.
Εκατοντάδες εκατομμύρια χρήστες του Facebook είδαν αυτό το μήνα τα δεδομένα τους να ταξιδεύουν στο διαδίκτυο λόγω δύο ξεχωριστών κενών ασφαλείας του κοινωνικού δικτύου. Απέναντι σε αυτόν τον σημαντικό όγκο των δεδομένων, το Facebook ελπίζει να “κανονικοποιήσει” το φαινόμενο και υποστηρίζει ότι θα πρέπει να μάθουμε να ζούμε με τις διαρροές δεδομένων. Για έναν ιστότοπο που έχει εμμονή με τη συλλογή δεδομένων από τους χρήστες του, η αμέλεια του Facebook προκαλεί.
Το Facebook αναφέρει τώρα ότι “έκλεισε κατά λάθος αυτήν την αναφορά σφάλματος πριν την δρομολογήσει στην κατάλληλη ομάδα” και ότι αυτή τη στιγμή διερευνά το πρόβλημα. Δεν γνωρίζουμε πότε η εταιρεία θα διορθώσει το συγκεκριμένο κενό ασφαλείας ή πόσοι λογαριασμούς έχουν επηρεαστεί.
