Το Shutterstock / Bloomua Security είναι μια δύσκολη επιχείρηση, καθώς φαίνεται ότι κάθε μέρα φέρνει ένα νέο ελάττωμα ή μια ευπάθεια. Το σημερινό εύρημα είναι μεγάλο, καθώς μπορεί να επηρεάσει σχεδόν 1,5 δισεκατομμύριο χρήστες Facebook.
Ο Reza Moaiandin, ο τεχνικός διευθυντής του Salt Agency, ανακάλυψε ένα ελάττωμα με το Facebook που θα μπορούσε να επιτρέψει στους χάκερ να καταλάβουν τον αριθμό τηλεφώνου σας, ακόμα και όταν έχει οριστεί ως ιδιωτικό. Δείτε πώς λειτουργεί και πώς να προστατευτείτε.
Πως δουλεύει
Το πλαίσιο αναζήτησης του Facebook σάς επιτρέπει να βρείτε πιθανούς φίλους στο Facebook απλά πληκτρολογώντας το όνομά τους, αλλά πολλοί άνθρωποι δεν γνωρίζουν ότι μπορείτε επίσης να εισαγάγετε αριθμούς τηλεφώνου και να λάβετε αποτελέσματα. Εάν πιστεύετε ότι ο ορισμός του αριθμού τηλεφώνου σας σε ιδιωτικό θα τον εμποδίσει να εμφανίζεται στα αποτελέσματα αναζήτησης, σκεφτείτε ξανά. Εάν ορίσετε τον αριθμό τηλεφώνου σας ως ιδιωτικό, δεν θα εμφανίζεται μόνο στο προσωπικό σας προφίλ όταν το βλέπουν οι φίλοι σας.
Εάν γράψαμε ένα σενάριο και χρησιμοποιήσαμε το API του Facebook, θα μπορούσαμε να έχουμε εκατομμύρια αριθμούς τηλεφώνου μέσα σε λίγα λεπτά.
Το Facebook διαθέτει μια πρόσθετη ρύθμιση που επιτρέπει σε οποιονδήποτε να σας αναζητήσει με βάση τον αριθμό τηλεφώνου σας ή τη διεύθυνση email σας και έχει οριστεί ως Δημόσιο από προεπιλογή. Αυτό σημαίνει ότι οποιοσδήποτε (φίλος ή μη φίλος) που εισάγει τον αριθμό τηλεφώνου σας στο πλαίσιο αναζήτησης Facebook θα λάβει πληροφορίες όπως το όνομα, την τοποθεσία και την εικόνα προφίλ σας. Αυτό είναι εντάξει εάν το άτομο γνωρίζει πραγματικά τον αριθμό σας, επειδή είναι πιθανότατα γνωστός, προσωπικός φίλος ή μέλος της οικογένειας.
Το πρόβλημα προκύπτει επειδή ένας χάκερ μπορεί να γράψει ένα απλό σενάριο με εκατομμύρια αριθμούς τηλεφώνου ακολουθώντας ένα μοτίβο για μια συγκεκριμένη περιοχή. Στη συνέχεια, μπορούν να χρησιμοποιήσουν το API του Facebook για να πραγματοποιήσουν μια αναζήτηση και να λάβουν αποτελέσματα μέσα σε λίγα λεπτά. Φανταστείτε πόσο καταστροφικό θα ήταν αυτό για διασημότητες και πολιτικούς, ειδικά επειδή οι περισσότεροι άνθρωποι χρησιμοποιούν τον αριθμό του κινητού τους αποκλειστικά αυτές τις μέρες.
Για να αποδείξουμε το εύρημα του Moaiandin, πληκτρολογήσαμε μερικούς αριθμούς τηλεφώνου μη φίλων στο πλαίσιο αναζήτησης στο Facebook και μπίνγκο, το όνομα του ατόμου, η τοποθεσία και η φωτογραφία προφίλ εμφανίστηκαν για κάθε αριθμό σαν να είχαμε πληκτρολογήσει το όνομά τους. Φυσικά, αυτή η μέθοδος θα ήταν εξαιρετικά αργή, αφού θα έπρεπε να εισαγάγετε κάθε πιθανό αριθμό τηλεφώνου, αλλά αποδεικνύει ότι το ελάττωμα υπάρχει. Εάν γράψαμε ένα σενάριο και χρησιμοποιούσαμε το API του Facebook, θα μπορούσαμε να έχουμε εκατομμύρια αριθμούς τηλεφώνου μαζί με τον οποίο ανήκαν μέσα σε λίγα λεπτά.
Τι μπορεί να κάνει το Facebook;
Ο Moaiandin συμβουλεύει το Facebook να περιορίσει απλά το ποσό των αιτημάτων ανά χρήστη και να εντοπίσει μοτίβα. Αυτό θα ήταν μια καλή αρχή, αλλά η κρυπτογράφηση δεδομένων θα ήταν το καλύτερο σενάριο.
Για πρώτη φορά επικοινώνησε με το Facebook τον Απρίλιο του 2015 με τα ευρήματά του, αλλά ο πρώτος μηχανικός δεν κατάλαβε το ζήτημα. Αφού περίμενε λίγο, ο Moaiandin ενημέρωσε ξανά την εταιρεία τον περασμένο μήνα και ένας μηχανικός απάντησε με: «Ευχαριστώ που γράψατε. Ερεύνησα τη βάση κώδικα μας και φαίνεται να εφαρμόζει το ρυθμό επιτάχυνσης. Λάβετε υπόψη ότι τα όρια τιμών ενδέχεται να είναι υψηλότερα από την τιμή που στέλνετε στους διακομιστές μας, επομένως δεν φαίνεται να αποκλείεστε. Αυτό είναι σκόπιμο. Δεν το θεωρούμε ευάλωτο στην ασφάλεια, αλλά έχουμε ελέγχους και μετριάζουμε την κατάχρηση. " Με άλλα λόγια, το Facebook έχει ορισμένους ελέγχους για να αποτρέψει τους χάκερ από τη συλλογή μαζικών λιστών αριθμών τηλεφώνου, αλλά δεν είναι αρκετά αυστηροί.
Πώς να υπερασπιστείτε τον εαυτό σας σε λιγότερο από ένα λεπτό
Καλα ΝΕΑ! Δεν χρειάζεται να περιμένετε μέχρι να ξυπνήσει το Facebook και να διορθώσει αυτό το ζήτημα.
Επικοινωνήσαμε με την Reza Moaiandin και μπορούμε να επιβεβαιώσουμε ότι αν ακολουθήσετε τα βήματα που περιγράφονται παρακάτω από είτε σε επιτραπέζιο υπολογιστή ή smartphone, ο αριθμός τηλεφώνου σας δεν θα είναι ορατός σε χάκερ που προσπαθούν να χρησιμοποιήσουν ένα σενάριο ή οποιοδήποτε τυχαίο άτομο που τυχαίνει να το εισάγει στο πεδίο αναζήτησης Facebook. Προτρέπουμε όλους να το κάνουν τώρα, αφού χρειάζονται λιγότερο από ένα λεπτό για να το κάνουν.
Από επιτραπέζιο υπολογιστή
- Ανοίξτε το Facebook στο πρόγραμμα περιήγησής σας, κάντε κλικ στο ανάποδο τρίγωνο επάνω δεξιά και επιλέξτε Ρυθμίσεις.
- Επιλέγω Μυστικότητα από το αριστερό παράθυρο.
- Εύρημα Ποιος μπορεί να με κοιτάξει στην ενότητα Ρυθμίσεις απορρήτου και εργαλεία
- Επιλέγω Ποιος μπορεί να με αναζητήσει χρησιμοποιώντας τον αριθμό τηλεφώνου που παρείχατε;και να το αλλάξετε σε Φίλοι φίλων ή απλά Οι φιλοι. Μόλις Οι φιλοι θα ήταν η απόλυτη προστασία.
- Θα παρατηρήσετε επίσης μια επιλογή για Ποιος μπορεί να με αναζητήσει χρησιμοποιώντας τη διεύθυνση ηλεκτρονικού ταχυδρομείου που δώσατε;Μπορείτε να το αλλάξετε και αν το επιθυμείτε, αλλά είναι πολύ πιο δύσκολο για έναν χάκερ να δημιουργήσει ένα σενάριο μοτίβων email με βάση την πολυπλοκότητά του.
Από το smartphone σας
- Στην εφαρμογή Facebook, πατήστε το εικονίδιο χάμπουργκερ (τρεις γραμμές) επάνω δεξιά και βρείτε Ρυθμίσεις λογαριασμού.
- Πατήστε Μυστικότητα.
- Εύρημα Ποιος μπορεί να με κοιτάξει υπό Πώς συνδέεστε.
- ΕπιλέγωΠοιος μπορεί να με αναζητήσει χρησιμοποιώντας τον αριθμό τηλεφώνου που παρείχατε;και να το αλλάξετε σεΦίλοι φίλων ή απλά Οι φιλοι. Μόλις Οι φιλοι θα ήταν η απόλυτη προστασία.
- Θα παρατηρήσετε επίσης μια επιλογή για Ποιος μπορεί να με αναζητήσει χρησιμοποιώντας τη διεύθυνση ηλεκτρονικού ταχυδρομείου που δώσατε; Μπορείτε να το αλλάξετε αν θέλετε, αλλά είναι πολύ πιο δύσκολο για έναν χάκερ να δημιουργήσει ένα σενάριο μοτίβων email με βάση την πολυπλοκότητά του.
Θα ενημερώσουμε αυτήν την ανάρτηση όταν το Facebook αναγνωρίσει το ελάττωμα και στη συνέχεια θα το διορθώσει.
