Facebook continua a essere coinvolto in tutti i tipi di scandali sulla sicurezza. Qualche settimana fa, più di 530 milioni i dati degli utenti della piattaforma sono stati resi pubblici, compresi i numeri di telefono di 11 milioni di persone in Spagna, associati a dati come il nome completo o il luogo di lavoro. Ora, quando si stanno appena riprendendo, sembra che ci sia un'altra perdita.
Questo martedì, un ricercatore di sicurezza informatica ha pubblicato un video che mostra uno strumento chiamato Ricerca e-mail di Facebook v1.0 , con cui puoi scoprire qualsiasi account Facebook associato a un email . Tutto quello che devi fare è inserire il tuo indirizzo e-mail e il tuo account Facebook ci verrà restituito.
Conosci l'account Facebook di una persona solo con la sua e-mail
Il bug è ancora attivo su Facebook e il ricercatore ha deciso di pubblicarlo dopo che Facebook ha affermato che la vulnerabilità non era importante e non valeva nemmeno la pena risolverla. In seguito alla pubblicazione del video, la società ha ammesso di aver "chiuso prematuramente per errore l'indagine prima di assegnarla alla squadra appropriata". Successivamente, affermano che stanno lavorando per risolvere la vulnerabilità che appare nel video, che non è stato pubblicato per impedire la replica dell'attacco.
All'inizio dell'anno Facebook ha sistemato una vulnerabilità con un meccanismo identico a questo, ma in questo secondo caso hanno deciso di non risolverlo. La colpa risiede nel front-end della piattaforma, ma non hanno fornito maggiori dettagli al riguardo. Il ricercatore ha testato con successo lo strumento, che ora viene distribuito tra le diverse comunità di hacker. Tra gli usi che vengono fatti c'è quello di spiare i gruppi di Facebook che cercano di prendere il controllo degli account con e-mail di phishing, così come gli account pubblicitari di Facebook per ottenere denaro.
È possibile associare 5 milioni di account alle e-mail ogni giorno
Il ricercatore ha acquistato 250 account Facebook di nuova registrazione per $ 10 e ha potuto vedere come, inserendo 65,000 e-mail, ha ottenuto risultati per gran parte di essi. Come ha calcolato, è possibile farlo per 5 milioni di account di posta elettronica al giorno .
Facebook ha sottolineato negli ultimi anni di distinguere tra tecniche di scraping e hack in quanto tali. Lo scraping è qualcosa che hanno permesso per anni, dove attraverso la loro API era possibile raccogliere dati pubblici e non così pubblici dai profili degli utenti, come nome, like, preferenze, ecc. Attraverso le vulnerabilità è stato possibile conoscere il numero di telefono , e in questo caso è stato possibile conoscere anche gli account associati a ciascuna email. Pertanto, non si tratta di raschiare, ma di vulnerabilità in tutte le loro lettere.
Il mezzo DataNews ha avuto accesso a un'e-mail interna di Facebook, in cui l'azienda comunicava ai propri dipendenti che sperano che in futuro si verifichino nuovi casi controversi legati all'uso di tecniche di scraping. E senza dubbio, questa vulnerabilità porterà alla creazione di nuovi database. Se non utilizzi il tuo account, potrebbe essere un buon momento per annullare l'iscrizione a Facebook.
Pertanto, con questo bug è ora possibile scoprire quali account Facebook sono associati a ciascuna e-mail. Se uniamo questi dati con la fuga di poche settimane fa, ora è possibile conoscere il file email, nome completo e numero di telefono di una persona, così come il loro corrispondente Account ID.
