رخنه فیسبوک دسترسی به هر ایمیلی را امکان‌پذیر می‌سازد

رخنه فیسبوک دسترسی به هر ایمیلی را امکان‌پذیر می‌سازد

به لطف برنامه پاداش در مقابل کشف رخنه‌ها، تامی دوئس پژوهشگر امنیتی موفق شد در واپسین روزهای سال جاری میلادی جایزه 5 هزار دلاری فیسبوک را به دست آورد. آسیب‌پذیری که از سوی دنیس شناسایی شده است به هر کاربری اجازه می‌دهد به آدرس ایمیل‌های کاربران فیسبوک حتا آدرس‌هایی که خصوصی هستند، دست پیدا کنند.

تامی دوئس در ارتباط با آسیب‌پذیری شناسایی شده گفته است: «رخنه‌ای که شناسایی کردم این قابلیت را در اختیارم قرار داد تا آدرس ایمیل اعضا فیسبوک را به دست آورم. فرقی نمی‌کند آدرس‌ ایمیل شما چقدر خصوصی و محرمانه باشند، این توانایی را دارم تا هر آدرسی را به دست آورم.» دنیس آسیب‌پذیری شناسایی شده را در قالب برنامه پاداش در مقابل کشف اشکالات به فیسبوک گزارش کرد. فیسبوک بعد از گذشت چند هفته و دریافت مستندات او و بررسی مواردی که به آن‌ها اشاره کرده بود، جایزه 5 هزار دلاری را به دنیس اعطا کرد. آسیب‌پذیری که دنیس موفق به شناسایی آن شد، در ارتباط با گروه‌هایی است که اعضا این شبکه اجتماعی آن‌ها را ایجاد می‌کنند. ویژگی فوق به کاربران این توانایی را می‌دهد تا روی فیسبوک گروه خویشاوندی ایجاد کنند. به عنوان مدیر یک گروه فیسبوک این توانایی را دارید تا هر کاربری را به گروه خود دعوت کرده و به او نقش مدیریتی اهدا کنید. در ادامه کاربر فوق این توانایی را خواهد داشت تا کارهایی همچون ویرایش پست‌ها و جذب اعضا را سازمان‌‌دهی کند.

فرآیند ارسال دعوت‌نامه‌ها به طور خودکار از سوی سیستم فیسبوک مدیریت شده و به طور مستقیم پیام‌ها در صندوق ورودی دریافت کننده قرار می‌گیرند. اما این حساب‌ها با آدرس‌های ایمیل کاربران در ارتباط است. در بیشتر موارد کاربران شبکه‌های اجتماعی ترجیح می‌دهند ایمیل آن‌ها به صورت مخفی از دید همگان باقی بماند. اما آسیب‌پذیری شناسایی شده از سوی دنیس به او اجازه می‌دهد تا آدرس ایمیل کاربران، حتا آن‌هایی که جزء دوستان او نیستند را به دست آورد. دنیس کاربرانی را به عنوان مدیر به گروه خود دعوت کرد. زمانی که در نظر داشت دعوت‌نامه‌های در حال انتظار را کنسل کند موفق شد این آسیب‌پذیری را شناسایی کند.

دئوس گفته است: «در شرایطی که فیسبوک در انتظار تایید دعوت‌نامه‌های ارسال شده است، کاربر را به صفحه نقش‌ها (Page Roles) هدایت می‌کند که یک دکمه لغو درخواست در آن قرار دارد.» در ادامه دئوس از طریق برنامه موبایل فیسبوک به صفحه نقش‌ها رفت و مشاهده کرد، زمانی که در نظر دارد فرآیند دعوت به گروه کاربران را از طریق برنامه همراه فیسبوک لغو کند، آدرس ایمیل کاربران به او نشان داده می‌شود. آدرس ایمیل در قالب یک متن ساده در اختیار او قرار گرفته بود. دئوس گفته است: «دسترسی به آدرس ایمیل کاربران متناقص با سیاست‌نامه‌ای است که از سوی فیسبوک در ارتباط با حریم خصوصی ارائه شده است. این آدرس‌های ایمیل در ارتباط با حملات مخرب و به ویژه فیشینگ می‌تواند مورد استفاده قرار گیرد.»

 

 

فیسبوک گفته است: «ما این نفوذ را تایید می‌کنیم اما تا به این لحظه گزارشی در ارتباط با سوء استفاده از این رخنه را دریافت نکرده‌ایم. ما وصله‌ای را برای این آسیب‌پذیری آماده کرده‌ایم و ظرف چند روز آینده آن‌را پیاده‌سازی خواهیم کرد.» تا به امروزه فیسبوک جوایز مختلفی را به کاشفان رخنه‌ها پرداخت کرده است. پرداخت جایزه به پسر بچه ده ساله به واسطه شناسایی آسیب‌پذیری موجود در واسط برنامه‌نویسی (API) اینستاگرام، پرداخت جایزه 15 هزار دلاری به آناند به واسطه شناسایی حمله جستجوی فراگیر گذرواژه که قادر بود به حساب‌های کاربران نفوذ کند از جمله جوایزی هستند که فیسبوک آن‌را به پژوهشگران امنیتی اهدا کرده است.

نگاه دیگران

نگاه دیگران

نگاه دیگران نگاهی است از دنیای گسترده صفحات گوناگون اینترنت که منتخبی از آن‌ها را در پایگاه خبری چهره و اخبار مشاهده میکنید.


0 نظر درباره‌ی این پست نوشته شده است.

ثبت نظر