Compania Facebook a fost foarte criticata in ultima vreme din cauza manevrarii necorespunzatoare a datelor de utilizator si a vulnerabilitatilor de securitate.
O companie de securitate denumita Imperva a oferit detalii despre o alta vulnerabilitate care a expus date despre utilizatori si despre amicii lor.
Se pare ca vulnerabilitatea a permis site-urilor web sa acceseze date private despre utilizatorii si despre amicii lor prin accesarea neautorizata a unui API Facebook printr-un comportament specific in browserul Chrome.
Aceasta vulnerabilitate a fost dezvaluita celor de la Facebook in luna mai din 2018, iar apoi a fost reparata. Pentru a exploata vulnerabilitatea care expune date, atacatorii puteau efectua ceea ce se numeste falsificare a solicitarii intre site-uri.
Pentru acest lucru este necesar ca un utilizator Facebook sa viziteze un site rau intentionat cu Chrome, iar apoi sa dea click oriunde pe acel site cand sunt inca logati pe reteaua sociala.
Acest lucru ar permite atacatorilor sa deschida un nou pop-up sau o fila pe pagina de cautare Facebook si sa ruleze solicitari pentru a accesa datele personale ale utilizatorului.
Imperva ofera exemple de solicitari care includ verificarea daca utilizatorul a capturat fotografii intr-o anumita locatie sau daca a scris mesaje cu anumite texte.
Vulnerabilitatea putea fi astfel folosita pentru a afla interesele utilizatorilor si amicilor lor, chiar daca acestia au setat setarile de confidentialitate pentru ca acele date sa fie vizibile numai amicilor.
„Apreciem contributia acestui cercetator la programul de recompense pentru bug-urile descoperite”, a precizat Facebook intr-o declaratie.
Compania a adaugat ca: „Am rezolvat vulnerabilitatea care expune date in pagina noastra de cautare si nu am observat niciun abuz. Avand in vedere ca comportamentul de baza nu e specific pentru Facebook, am oferit cateva recomandari producatorilor de browsere si grupurilor relevante care se ocupa cu standardele web si le-am incurajat sa ia masuri pentru a impiedica aparitia acestui tip de problema in alte aplicatii web”.