Разработчик из США Томми ДеВосс обнаружил в Facebook уязвимость, открывающую взору пользователей скрытые адреса электронной почты.
Проблема связана с функцией Facebook Groups, которая дает возможность любому пользователю создавать группы по интересам в соцсети. В качестве администратора одного из сообществ разработчик мог предоставлять пользователям право администрирования группы – например, редактировать сообщения или добавлять новых пользователей. Все соответствующие приглашения обрабатываются Facebook и отправляются на ящик личных сообщений Facebook Messages, а также на электронный адрес, привязанный к учетной записи приглашенного. Выяснилось, что несмотря на установленные пользователями настройки конфиденциальности, получить доступ к такому почтовому адресу – достаточно простая задача.
ДеВосс обнаружил, что после отмены приглашения в разделе «Роли страницы» в мобильной версии Facebook, происходит перенаправление на страницу с URL, который содержит адрес электронной почты пользователя, которому отправлялся запрос.
Исследователь утверждает, что злоумышленники могут воспользоваться уязвимостью для осуществления целевых фишинговых атак или другой вредоносной активности. Об этом он проинформировал Facebook, после чего уязвимость была устранена. В качестве вознаграждения за свою находку, эксперт получил от компании $5 тысяч.
Источник http://www.securitylab.ru/