相關文章

B77d01bd9aa7f0ad3d43236d932c4249 最近網路行銷公司 Salt Agency 的總監 Reza Moaiandin 無意間發現了臉書 API 的一個設定,可以讓駭客藉由隨機的電話號碼搜尋到臉書的帳號,而這可以讓駭客借此販賣你的資料大賺一筆。

Moaiandin 發現 Facebook 的 GraphQL 連結,包括美國、英國、加拿大等號碼,只要你有將號碼註冊在 Facebook 上,就有可能遭到駭客的入侵。他也借此成功取得了數千名 Facebook 用戶的個人資訊。

Moaiandin 於今年四月就跟臉書表示此問題,而臉書則表示此項設計是「故意的」,同時這個功能也有數量查詢功能的上線,但Moaiandin 並未達到查詢上限所以沒有被封鎖。

而根據科技新報直接測試發現,雖然用 API 就可以讓駭客大量取得資料是種危險,但事實上臉書上方的搜尋框,輸入電話號碼就可以成功找到臉書帳號,即使你只有電話號碼而沒有對方的臉書帳號,對方仍然可以在搜尋框輸入你的電話號碼找到你的臉書。

依照目前(20150812)的測試結果來看,如果你將電話的觀看權限設定為「自己」,你的好友仍然可以透過電話號碼搜尋到你的帳號,不過這對一般人來說影響並不大,畢竟你應該不會介意你的臉書好友用電話號碼來搜尋你。

但根據測試,很多人其實並沒有將電話號碼設定為公開,卻還是可以利用電話號碼搜尋到你,在互相不是好友的狀況下,有些人即使將綁定的電話號碼設定為「自己觀看」也仍然可以搜尋到,但有些人設定為「自己觀看」就搜尋不到。

目前尚未清楚這是 bug、還是後面有些我們不了解的演算法機制,但如果你有將電話號碼綁在臉書上的話,可以好好考慮一下要不要刪掉或是修改權限了。

Facebook: Please fix this security loophole before it’s too late

 

使用 Facebook 留言

users
1.  users (發表於 2015年8月13日 15:29)
本來FB就是資安不友善的玩具,
偏偏多數人愛用(這對不肯使用的少數這一方造成極大壓迫),
╯-__-)╯ ╩╩
既然要用最好有個認知→你等於同意它刻意洩漏自己的隱私(包括個資),不論其是否有以此獲取任何利益(直/間接或者收益規模的大小)!
╮(╯_╰)╭

P.S.
版主PO/轉載過來的文章有錯字。

且看FB的回應多惡質:
這是"故意"設計的功能(!)還有查詢數量的上限(不是線,原PO這裡錯字)。
因為該M氏他未達上限(已經數千了,這意味著上限可能設在百萬、千萬或者十億等級)所以沒被封鎖(正常情況『功能』需要封鎖嗎?)←更糟的是這代表在上限以內的個資外洩FB認為是無所謂的;
囧rz

別忘了這還是封鎖單一帳號,
亦即有心人士用多組帳號加上不重號的暴力電話簿手法可以帶走N倍於上限的個資(也就是講白了FB根本不覺得用戶的個資有啥了不起的,大驚小怪個什麼勁!!!)。
(⊙ˍ⊙)

發表回應

謹慎發言,尊重彼此。按此展開留言規則