Злом телефонного номера в Facebook - Як захистити себе

Shutterstock / Bloomua Security - це одна важка справа, оскільки, здається, кожен день приносить новий недолік або вразливість. Сьогоднішня знахідка є великою, оскільки вона може вплинути на майже 1,5 мільярда користувачів Facebook.

Реза Моаяндін, технічний директор Агенції солі, виявив недолік у Facebook, який може дозволити хакерам з'ясувати ваш номер телефону, навіть якщо він встановлений як приватний. Ось як це працює та як захистити себе.

Як це працює

Вікно пошуку Facebook дозволяє знайти потенційних друзів на Facebook, просто ввівши їх ім’я, але багато людей не знають, що ви також можете вводити номери телефонів і отримувати результати. Якщо ви вважаєте, що встановлення приватного номера телефону зупинить його показ у результатах пошуку, подумайте ще раз. Встановлення приватного номера телефону зупиняє його появу у вашому особистому профілі, коли його переглядають не друзі.

Якби ми написали сценарій і використали API Facebook, ми могли б отримати мільйони телефонних номерів за лічені хвилини.

Facebook має додаткове налаштування, яке дозволяє будь-кому шукати вас на основі вашого номера телефону або вашої адреси електронної пошти, і за замовчуванням для нього встановлено значення Public. Це означає, що кожен (друг чи не друг), який введе ваш номер телефону у вікно пошуку Facebook, отримає таку інформацію, як ваше ім’я, місцезнаходження та зображення профілю. Це нормально, якщо людина насправді знає ваш номер, оскільки це, швидше за все, знайомий, особистий друг або член родини.

Проблема виникає через те, що хакер може написати простий сценарій з мільйонами телефонних номерів за шаблоном для певної області. Потім вони можуть використовувати API Facebook для пошуку та отримання результатів протягом декількох хвилин. Уявіть, наскільки це було б руйнівним для знаменитостей та політиків, тим більше, що в наш час більшість людей використовують свій номер мобільного телефону виключно.

Щоб довести знахідку Моаяндіна, ми набрали кілька номерів телефонів, які не є друзями, у вікні пошуку на Facebook, і бінго, ім’я людини, місцезнаходження та фотографія профілю з’явилися для кожного номера так само, якби ми ввели їх ім’я. Звичайно, цей метод буде надто повільним, оскільки вам доведеться вводити кожен можливий номер телефону, але це доводить, що недолік існує. Якби ми написали сценарій і використали API Facebook, за лічені хвилини ми могли б отримати мільйони телефонних номерів разом із тим, кому вони належали.

Що може зробити Facebook?

Moaiandin радить Facebook просто обмежити кількість запитів на одного користувача та виявити закономірності. Це було б гарним початком, але шифрування даних було б найкращим сценарієм.

Вперше він зв’язався з Facebook у квітні 2015 року зі своїми висновками, але перший інженер не зрозумів проблеми. Трохи зачекавши, Моаяндін ще раз повідомив компанію минулого місяця, і один інженер відповів: «Дякую за написання. Я дослідив нашу кодову базу, і, схоже, вона реалізує регулювання швидкості. Зауважте, що обмеження тарифів можуть бути вищими за тарифи, які ви надсилаєте на наші сервери, тому ви, схоже, не заблоковані. Це навмисно. Ми не вважаємо це вразливістю безпеки, але у нас є контроль і пом'якшує зловживання ". Іншими словами, Facebook має деякі засоби контролю, щоб хакери не збирали масові списки телефонних номерів, але вони недостатньо жорсткі.

Як захиститися менш ніж за хвилину

Хороші новини! Вам не потрібно чекати, поки Facebook прокинеться і вирішить цю проблему.

Ми зв’язалися з Резою Моаяндіном і можемо підтвердити, що якщо ви дотримуєтесь наведених нижче кроків з або на робочому столі чи смартфоні, ваш номер телефону не буде видимий хакерам, які намагаються скористатися сценарієм, або будь-якій випадковій людині, яка випадково вводить його в поле пошуку Facebook. Ми закликаємо всіх зробити це зараз, оскільки це займає менше хвилини.

З робочого столу

1. Відкрийте Facebook у своєму браузері, натисніть на перевернутий трикутник угорі праворуч і виберіть Налаштування.
2. Виберіть Конфіденційність з лівої панелі.
3. Знайдіть Хто може шукати мене у розділі Налаштування та інструменти конфіденційності
4. Виберіть Хто може шукати мене за вказаним вами номером телефону?і змінити його на Друзі друзів або просто Друзі. Просто Друзі буде найвищим захистом.
5. Ви також помітите варіант для Хто може шукати мене за вказаною вами електронною адресою?Ви також можете змінити це, якщо хочете, але хакеру набагато складніше створити сценарій шаблонів електронної пошти на основі їх складності.

З вашого смартфона

1. У програмі Facebook натисніть на значок гамбургера (три рядки) вгорі праворуч і знайдіть Налаштування аккаунта.
2. Натисніть Конфіденційність.
3. Знайдіть Хто може шукати мене під Як ви підключаєтесь.
4. ВиберітьХто може шукати мене за вказаним вами номером телефону?і змінити його наДрузі друзів або просто Друзі. Просто Друзі буде найвищим захистом.
5. Ви також помітите варіант для Хто може шукати мене за вказаною вами електронною адресою? Ви можете змінити це, якщо хочете, але хакеру набагато складніше створити сценарій шаблонів електронної пошти на основі їх складності.

Ми оновимо цю публікацію, коли Facebook визнає недолік і згодом виправить його.