Поиск по телефону в Facebook может быть злоупотребляем, чтобы найти номера людей, говорят исследователи

Атакующие могут злоупотреблять функцией поиска по телефону Facebook, чтобы найти действительные номера телефонов и имя их владельцев, согласно исследователям безопасности.

Атака возможна, потому что Facebook не ограничивает число поисков номера телефона, которое может быть выполнено пользователем через мобильную версию своего веб-сайта, Suriya Prakash, независимый исследователь по безопасности, сказал в недавнем сообщении в блоге.

Facebook позволяет пользователям связывать свои телефонные номера с их счетами. Если факт, номер мобильного телефона необходим для проверки любой новой учетной записи Facebook и разблокировки таких функций, как загрузка видео или персонализация URL-адреса по времени.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

При добавлении телефонных номеров в раздел «Контактная информация» на их соответствующих страницах профиля Facebook, пользователи могут выбрать, хотят ли они делать эту информацию видимой для широкой публики, только для своих друзей или если они хотят сохранить ее сами, что является хорошим вариантом конфиденциальности.

Facebook также позволяет пользователям находить других людей на веб-сайте, ища номера телефонов этих людей в международном формате.

Пользователи могут контролировать, кто может найти их, используя этот метод, в разделе «Настройки конфиденциальности»> «Как вы Подключить «>« Кто может искать вас, используя адрес электронной почты или номер телефона, который вы указали? » который по умолчанию установлен на «Все».

Это означает, что даже если вы установите видимость своего номера на «Я только» на странице вашего профиля, любой, кто знает ваш номер телефона, все равно сможет найти вас на Facebook, если вы измените вторую настройку на «Друзья» или «Друзья друзей». Нет возможности запретить всем пользователям определять ваш профиль с помощью вашего номера телефона.

Поскольку большинство людей не меняют значение по умолчанию этого параметра, злоумышленник может создать список последовательных телефонных номеров в выбранном (например, от конкретного оператора), и использовать окно поиска Facebook, чтобы узнать, к кому они принадлежат, сказал Пракаш. Подключение случайного номера телефона к имени - мечта каждого рекламодателя, и подобные списки принесли бы большую цену на черном рынке, сказал он.

Пракаш утверждает, что он разделил этот сценарий атаки с группой безопасности Facebook в августе и после первоначальный ответ 31 августа все его электронные письма остались без ответа до 2 октября, когда представитель Facebook ответил и сказал, что скорость, с которой пользователи могут быть найдены на веб-сайте с помощью любых средств, включая номера телефонов, ограничена.

Тем не менее, мобильная версия веб-сайта Facebook-m.facebook.com, похоже, не имеет ограничений скорости поиска, сказал Пракаш.

Исследователь сгенерировал номера с префиксами страны в США и Индии и создал простой доказательство того, (PoC), который искал их на Facebook, и сохранил те, которые, как было установлено, связаны с профилями Facebook, вместе с именами их владельцев.

Пракаш сказал, что он решил публично раскрыть эту уязвимость через несколько дней кормовой er отправил свой PoC-скрипт в Facebook, потому что компания не ответила. Пракаш даже опубликовал 850 частично запутанных телефонных номеров и связанных имен, которые, по его словам, представляли очень небольшую часть данных, полученных во время его тестов.

«Прошло около недели с тех пор, как я начал ее запускать, и у меня все еще нет был заблокирован », - сказал Пракаш в понедельник по электронной почте. «Я даже сообщил им [Facebook] сегодня утром (индийское время), пока не ответил».

Facebook не вернул запрос на комментарий, отправленный в понедельник.

Другой исследователь тестирует

После публичного раскрытия Пракаша Тайлер Борланд, исследователь безопасности с поставщиком сетевой безопасности Alert Logic, создал еще более эффективный скрипт, который одновременно может запускать до десяти процессов поиска в Facebook. Сценарий Borland называется «сканером для телефона Facebook» и может выполнять поиск номеров телефонов из заданного пользователем диапазона.

«С настройками по умолчанию я смог проверять данные по одному номеру телефона каждую секунду», - сказал Borland по электронной почте в понедельник. «Они [Facebook] не используют никаких ограничений по скорости, или я еще не ударил этот предел. Опять же, я отправил сотни запросов за короткие промежутки времени, и ничего не произошло».

С скриптом Borland, работающим на большом ботнет - более 100 000 компьютеров - злоумышленник мог найти номера телефонов и имена большинства пользователей Facebook с мобильными номерами, связанными со своими учетными записями в течение нескольких дней, сказал Пракаш.

Это вызывает беспокойство, что эта уязвимость по-прежнему открыта, и есть доступных для ее использования, сказал Богдан Ботезату, старший аналитик электронной угрозы для антивирусного поставщика Bitdefender, по электронной почте в понедельник. По словам Ботезату, очень немногие пользователи изменяют свои настройки конфиденциальности по умолчанию.

Это еще один пример того, как отличная функция может быть нарушена, если механизмы безопасности плохо реализованы или полностью отсутствуют, сказал Ботезату. «В отличие от сообщений электронной почты или комментариев в блогах, приближение к пользователю по телефону намного эффективнее в копье, которое пытается атаковать [голосовой фишинг], главным образом потому, что пользователь компьютера не знает о том, что его номер телефона, возможно, оказался в неправильные руки. В сочетании с информацией пользователей в своем профиле злоумышленник может убедить пользователя в передаче личной информации в кратчайшие сроки ».

Голосовой фишинг-атаки и другие типы мошенничества с телефоном являются общими, и их уровень успеха уже высок, Botezatu сказал.

«Теперь представьте, что эти мошенники обращаются к вам по вашему полному имени и поддерживают свои заявления с информацией о вас, взятой прямо из вашего профиля [Facebook]». Ботезату сказал.