Les tentatives de connexion Facebook ayant échoué révèlent des informations privées

Essayez Notre Instrument Pour Éliminer Les Problèmes

Facebook ne semble pas s'arrêter ces jours-ci en matière de confidentialité. Un nouveau bogue a été découvert mercredi par le chercheur Atul Agarwal, qui permettait à quiconque de faire correspondre une adresse e-mail avec le nom et la photo de profil d'un utilisateur Facebook.

Facebook a conçu le processus de connexion pour fournir des informations supplémentaires à l'utilisateur si la combinaison d'e-mail et de mot de passe utilisée pour se connecter ne correspond pas.

Au lieu d'afficher simplement un avertissement indiquant que les informations de connexion n'étaient pas correctes, Facebook est allé plus loin et a affiché les informations de connexion en tant que sur la page. Cela incluait la photo de profil de l'utilisateur et son nom complet, quels que soient les paramètres de confidentialité de cet utilisateur sur Facebook.

Atul a décrit le problème en détail sur Seclists :

Il y a quelque temps, j'ai remarqué un problème étrange avec Facebook, j'avais accidentellement entré un mot de passe incorrect dans Facebook, et il a montré mon prénom et mon nom avec la photo de profil, ainsi que le message de mot de passe incorrect. Je pensais que le fait d'afficher le nom avait quelque chose à voir avec les cookies stockés, alors j'ai essayé d'autres identifiants de messagerie, et c'était la même chose. Je me suis posé des questions sur les possibilités et j'ai écrit un outil POC pour le tester.

Ce script extrait le prénom et le nom (fournis par les utilisateurs lors de leur inscription sur Facebook). Facebook a la gentillesse de renvoyer le nom même si la combinaison email / mot de passe fournie est incorrecte. De plus, il
donne l'image de profil (ce script ne la récolte pas, mais il est facile de l'ajouter aussi). Les utilisateurs de Facebook n'ont aucun contrôle sur cela, car cela fonctionne même lorsque vous avez correctement défini tous les paramètres de confidentialité. La récolte de ces données est très facile, car elle peut être facilement contournée en utilisant un tas de proxies.

facebook login privacy
confidentialité de connexion facebook

Le problème a été résolu en un temps record par Facebook. Cela signifie cependant que
le problème de confidentialité était exploitable par tout le monde, y compris les utilisateurs sans compte Facebook, jusqu'à ce que le correctif soit appliqué.

En clair, quiconque découvrait le problème pouvait associer des adresses e-mail à de vrais noms et photos de profil sur Facebook, même sans compte.

Des attaquants dédiés peuvent avoir utilisé l'automatisation pour extraire les informations en masse de Facebook.

Le code de preuve de concept rédigé par Atul a montré que des utilisateurs malveillants auraient pu exploiter le problème pour créer une énorme base de données d'adresses e-mail liées et de noms complets, ce qui pourrait être désastreux s'il était utilisé dans des campagnes de phishing ou d'autres utilisations malveillantes.