Hacknutí telefonního čísla na Facebooku - Jak se chránit

Shutterstock / Bloomua Security je jedna těžká věc, protože se zdá, že každý den přináší novou chybu nebo zranitelnost. Dnešní zjištění je velké, protože by mohlo ovlivnit téměř 1,5 miliardy uživatelů Facebooku.

Reza Moaiandin, technický ředitel agentury Salt, objevil chybu na Facebooku, která by mohla hackerům umožnit zjistit vaše telefonní číslo, i když je nastaveno jako soukromé. Zde je návod, jak to funguje a jak se chránit.

Jak to funguje

Vyhledávací pole Facebooku vám umožňuje najít potenciální přátele na Facebooku pouhým zadáním jejich jména, ale mnoho lidí neví, že můžete také zadat telefonní čísla a přijímat výsledky. Pokud si myslíte, že nastavení vašeho telefonního čísla na soukromé zabrání zobrazování ve výsledcích vyhledávání, zamyslete se znovu. Nastavení vašeho telefonního čísla jako soukromého zastaví jeho zobrazování ve vašem osobním profilu pouze v případě, že si ho prohlížejí uživatelé, kteří nejsou přáteli.

Pokud bychom napsali scénář a použili API Facebooku, mohli bychom mít během několika minut miliony telefonních čísel.

Facebook má další nastavení, které umožňuje komukoli vás vyhledat na základě vašeho telefonního čísla nebo vaší e-mailové adresy a ve výchozím nastavení je nastaveno na Veřejné. To znamená, že kdokoli (přítel nebo nepřítel), který zadá vaše telefonní číslo do vyhledávacího pole na Facebooku, získá informace, jako je vaše jméno, umístění a profilový obrázek. To je v pořádku, pokud daná osoba skutečně zná vaše číslo, protože s největší pravděpodobností jde o známého, osobního přítele nebo člena rodiny.

Problém nastává, protože hacker dokáže napsat jednoduchý skript s miliony telefonních čísel podle vzoru pro určitou oblast. Poté mohou pomocí API Facebooku provést vyhledávání a získat výsledky během několika minut. Představte si, jak zničující by to bylo pro celebrity a politiky, zejména proto, že většina lidí dnes používá své mobilní číslo výhradně.

Abychom prokázali Moaiandinovo zjištění, zadali jsme do vyhledávacího pole na Facebooku několik telefonních čísel nepřátel, a pro každé číslo se objevilo bingo, jméno osoby, umístění a profilová fotka, jako kdybychom zadali její jméno. Tato metoda by samozřejmě byla velmi pomalá, protože byste museli zadat každé možné telefonní číslo, ale dokazuje to, že chyba existuje. Kdybychom napsali scénář a použili API Facebooku, mohli bychom mít během několika minut miliony telefonních čísel spolu s tím, komu patří.

Co může Facebook dělat?

Moaiandin radí Facebooku, aby jednoduše omezil množství požadavků na uživatele a detekoval vzory. Byl by to dobrý začátek, ale nejlepším scénářem by bylo šifrování dat.

Poprvé se svými nálezy kontaktoval Facebook v dubnu 2015, ale první inženýr problému nerozuměl. Po krátkém čekání Moaiandin minulý měsíc společnost znovu informoval a jeden inženýr odpověděl: „Díky, že jste se přihlásili. Zkoumal jsem naši kódovou základnu a zdá se, že implementuje omezování rychlosti. Upozorňujeme, že limity rychlosti mohou být vyšší než sazby, které odesíláte na naše servery, proto nejste zřejmě blokováni. To je úmyslné. Nepovažujeme to za chybu zabezpečení, ale máme zavedené kontroly a zmírňujeme zneužívání. “ Jinými slovy, Facebook má určité ovládací prvky, které zabraňují hackerům shromažďovat hromadné seznamy telefonních čísel, ale nejsou dostatečně přísné.

Jak se bránit za méně než minutu

Dobré zprávy! Nemusíte čekat, až se Facebook probudí a vyřeší tento problém.

Kontaktovali jsme Reza Moaiandin a můžeme potvrdit, že pokud budete postupovat podle níže uvedených kroků od buď na stolním počítači nebo chytrém telefonu, vaše telefonní číslo nebude viditelné hackerům, kteří se pokoušejí použít skript, ani náhodným osobám, které jej náhodou zadají do vyhledávacího pole na Facebooku. Žádáme všechny, aby to udělali hned, protože to trvá méně než minutu.

Z počítače

1. Otevřete Facebook ve svém prohlížeči, klikněte na trojúhelník vzhůru nohama vpravo nahoře a vyberte Nastavení.
2. Vybrat Soukromí z levého panelu.
3. Nalézt Kdo mě může vyhledat v části Nastavení a nástroje Ochrana osobních údajů
4. Vybrat Kdo mě může vyhledat pomocí telefonního čísla, které jste uvedli?a změnit to na Přátelé přátel nebo prostě Přátelé. Prostě Přátelé by byla nejvyšší ochrana.
5. Také si všimnete možnosti pro Kdo mě může vyhledat pomocí e-mailové adresy, kterou jste zadali?Pokud chcete, můžete to také změnit, ale pro hackera je mnohem obtížnější vytvořit skript vzorů e-mailů na základě jejich složitosti.

Ze smartphonu

1. V aplikaci Facebook klepněte na ikonu hamburgeru (tři řádky) vpravo nahoře a najděte Nastavení účtu.
2. Klepněte na Soukromí.
3. Nalézt Kdo mě může vyhledat pod Jak se připojujete.
4. VybratKdo mě může vyhledat pomocí telefonního čísla, které jste uvedli?a změnit to naPřátelé přátel nebo prostě Přátelé. Prostě Přátelé by byla nejvyšší ochrana.
5. Také si všimnete možnosti pro Kdo mě může vyhledat pomocí e-mailové adresy, kterou jste zadali? Pokud chcete, můžete to změnit, ale pro hackera je mnohem obtížnější vytvořit skript e-mailových vzorů na základě jejich složitosti.

Tento příspěvek aktualizujeme, když Facebook chybu uzná a následně ji opraví.