Американским разработчиком обнаружена уязвимость в facebook
Американским разработчиком Томми ДеВоссом (Tommy DeVoss) в Facebook найдена уязвимость, которая разрешает определить скрытые адреса используемой электронной почты пользователей соцсети. Данные исследований ДеВосс разместил на страницах сервиса Dawgyg.com.
ДеВосс отмечает, что уязвимость связана конкретно со особой применяемой функцией Facebook Groups, разрешающей юзерам создавать объединения, и группы по заинтересованностям. В это же время разработчик отсылал приглашения другим пользователям стать администратором паблика: додавать либо блокировать подписчиков и редактировать посты сообщества. Посланные предложения в итоге попадали индивидуальные сообщения юзеров, и дублировались в email всех приглашённых, которая привязана к учетной записи в соцсети.
Исследователем найдено, что, независимо от установленных настроек конфиденциальности, администратору любой группы в Facebook предоставляется возможность определить пользовательскую скрытую данные. В то время, когда юзер, что не заинтересован в администрировании сообщества, отказывается от приглашения при помощи мобильной версии соцсети, происходит автоматическое перенаправление пользователя на страницу с URL, где указывается полный адрес электронной его почты.
ДеВосс отмечает, что преступники, так, смогут воспользоваться уязвимостью соцсети Facebook для фишинговых целевых атак. Кроме этого он сказал, что оповестил действующую администрацию Facebook про собственное открытие. На данный момент данную проблему всецело устранили.
Соцсеть за изучение выплатила разработчику 5000 долларов.