Соцсеть Facebook только в прошлом месяце столкнулась с утечкой данных 500 млн своих пользователей, а сейчас у нее уже новый кризис приватности. Исследователь по кибербезопасности нашел способ связать электронную почту с аккаунтом Facebook, даже если пользователи запретили искать их по адресу электронной почты. Инструмент способен обрабатывать до 5 млн аккаунтов в день.
Утилита Facebook Email Search v1.0 стала доступна публично после того, как ее автор связался с Facebook относительно найденной уязвимости, но соцсеть сообщила, что уязвимость недостаточно важна для исправления.
Программист, пожелавший остаться инкогнито, «скормил» своей программе 65000 адресов электронной почты и записал видео того, как она связывает эти адреса с аккаунтами Facebook. За три минуты она обработала около 6000 аккаунтов. Автор подсчитал, что таким образом можно обработать до 5 млн аккаунтов в день.
В Facebook после такой демонстрации признали, что ошиблись: «Похоже, мы ошибочно закрыли это сообщение о баге перед его передачей соответствующей команде. Мы благодарим исследователю за то, что поделился информацией и предпринял первоначальные действия для смягчения проблемы, а мы продолжим для лучшего понимания».
Программа Facebook Email Search использовала уязвимость на фронтенде соцсети. Автор утилиты говорит, что это та же уязвимость, которую соцсеть закрыла в прошлом году.