Соцмережа Facebook лише минулого місяця стикнулася з витоком даних 500 млн своїх юзерів, а нині в неї вже нова криза приватності. Дослідник з кібербезпеки знайшов спосіб зв’язати електронну пошту з акаунтом Facebook, навіть якщо юзери заборонили шукати їх за адресою електронної пошти. Інструмент здатний обробляти до 5 млн акаунтів на день.
Утиліта Facebook Email Search v1.0 стала доступною публічно після того, як її автор зв’язався з Facebook щодо знайденої вразливості, але соцмережа повідомила, що вразливість недостатньо важлива для виправлення.
Програміст, який побажав залишитися інкогніто, «згодував» своїй програмі 65 000 адрес електронної пошти та записав відео того, як вона зв’язує ці адреси з акаунтами Facebook. За три хвилини вона обробила близько 6000 акаунтів. Автор підрахував, що таким чином можна обробити до 5 млн акаунтів на день.
У Facebook після такої демонстрації визнали, що помилилися: «Схоже, ми помилково закрили це повідомлення про баг перед його передачею відповідній команді. Ми дякуємо дослідникові за те, що поділився інформацією та вдався до початкових дій для пом’якшення проблеми, а ми продовжимо для кращого розуміння».
Програма Facebook Email Search використовувала вразливість на фронтенді соцмережі. Автор утиліти каже, що це та ж сама вразливість, яку соцмережа закрила минулого року.
