近幾個月來,影響 Facebook 的個人資料外洩事件不計其數,其中最著名的仍然是這起事件劍橋分析公司。本週,一個允許第三方網站訪問的錯誤“喜歡» 據報道,安全研究員 Ron Masas 透露了用戶偏好TechCrunch。這位在 Imperva 公司工作的專家於去年 5 月發現了這項發現,並謹慎地將其報告給了 Facebook。幾天后,該社交網路糾正了該問題,並向該專家支付了兩筆獎金。 Facebook 今天保證沒有人會利用它。這就是我們逃脫的。
宗教,朋友名單,很多資訊都可以提取
這是一個 CSRF(跨站點請求偽造)缺陷,或多或少由惡意行為者在使用者不知情的情況下執行操作組成。在這種情況下,在 Facebook 上,可以使用 iframe(一個簡單的 HTML 元素)在網站的搜尋引擎中嵌入新網頁。然後,有必要將已識別的用戶吸引到新的捕獲選項卡,該選項卡包含多個搜尋查詢,當互聯網用戶喜歡某個頁面時,這些搜尋查詢能夠返回是或否答案。
我們在這段影片中看到了恢復著名「讚」的過程
透過這種方式可以提取大量資訊:品味、朋友清單、宗教、城市,甚至某些訊息的內容。所有這些都無需詢問密碼或嘗試連接到個人資料。
這個問題並非 Facebook 獨有。但考慮到該社交網路的訂閱者數量眾多,它可能會被廣告公司利用。“我們已向受影響的瀏覽器和網絡標準組織提出建議,鼓勵他們採取措施,防止此類問題在其他網絡應用程序中再次出現。”Facebook 發言人 Margarita Zolotova 在聲明中表示。