Разработчик из США Томми ДеВосс (Tommy DeVoss) обнаружил в Facebook уязвимость, позволяющую получить доступ к конфиденциальным адресам электронной почты пользователей соцсети.
Проблема связана с функцией Facebook Groups, позволяющей любому пользователю создавать группы по интересам в соцсети. В качестве администратора одного из сообществ ДеВосс мог предоставлять пользователям право администрирования группы, например, редактировать сообщения или добавлять новых пользователей. Все соответствующие приглашения обрабатываются Facebook и отправляются на ящик личных сообщений Facebook Messages, а также на электронный адрес, привязанный к учетной записи приглашенного. Как оказалось, несмотря на установленные пользователями настройки конфиденциальности, возможно получить доступ к почтовому адресу любого подписчика соцсети.
ДеВосс обнаружил, что при отмене приглашения в разделе «Роли страницы» в мобильной версии Facebook, происходит перенаправление на страницу с URL, содержащим полный адрес электронной почты пользователя, которому отправлялся запрос.
По словам исследователя, злоумышленники могут воспользоваться уязвимостью для осуществления целевых фишинговых атак или другой вредоносной деятельности. ДеВосс проинформировал Facebook о проблеме и в настоящее время уязвимость уже устранена. В качестве награды компания выплатила эксперту $5 тыс.
Источник: securitylab.ru
