Uma nova vulnerabilidade descoberta no Facebook, permite que hackers vejam quais endereços de e-mail estão vinculados às contas dos usuários da rede social, mesmo que eles não os tenham divulgado publicamente.
Alon Gal, cofundador e CTO da empresa de segurança cibernética Hudson Rock, tuitou sobre a ferramenta e carregou um vídeo no YouTube mostrando endereços de e-mail sendo copiados do Facebook.
https://twitter.com/UnderTheBreach/status/1384552537383186432
O tecnólogo Ashkan Soltani também postou uma transcrição do vídeo, em que a pessoa que fez o vídeo afirma que a ferramenta abusa de uma vulnerabilidade de front-end presente no Facebook.
O narrador também disse que a ferramenta está atualmente disponível "dentro da comunidade de hackers" e pode ser usada para combinar 5 milhões de endereços de e-mail com contas do Facebook em um dia.
Below is transcript from a video the researcher shared to demo the attack (he asked to remain anonymous).
He states there is automated software available in the hacking community to exploit this vuln which is being used to compromise FB advertiser accounts.
More details to come pic.twitter.com/3P7rc6VyIB
— ashkan soltani (@ashk4n) April 20, 2021
"Estou consultando 65.000 endereços de e-mail. E como você pode ver no registro de saída aqui, estou obtendo uma quantidade significativa de resultados deles", disse a pessoa no vídeo.
Ele observou ainda que alguém também pode anexar esses dados de e-mail aos números de telefone que vazaram na violação de dados anterior.
"Esta não é apenas uma grande violação de privacidade, mas também resultará em um novo e grande despejo de dados", acrescentou a pessoa. "Acredito que esta é uma vulnerabilidade bastante perigosa e gostaria de ajuda para impedi-la."
A pessoa também afirma ter informado o Facebook sobre a suposta ferramenta, que aparentemente disse a ele que não resolveria o problema, citando-o como uma coisa menor.
"Parece que fechamos erroneamente este relatório de recompensa de bug antes de encaminhá-lo para a equipe apropriada. Agradecemos que o pesquisador compartilhe as informações e estamos tomando as medidas iniciais para mitigar esse problema enquanto fazemos o acompanhamento para entender melhor suas descobertas", disse um porta-voz do Facebook ao Motherboard.
Atualmente, não está claro como o Facebook planeja lidar com esse problema, já que ele pode ser facilmente explorado por hackers e golpistas.
A notícia da nova ferramenta chega logo depois que um usuário recentemente despejou informações pessoais de 533 milhões de usuários do Facebook em um fórum de hackers.
Via: Vice