安全研究员Mohaned Baset在Facebook上发现一个漏洞,这个漏洞会暴露了页面管理员的邮件和其他信息。
Facebook最近解决了一个信息泄露漏洞,也就是安全研究员Mohamed Baset发现的那个暴露页面管理员信息的漏洞。
据Baset所说,这个缺陷是一个“逻辑错误”,是在他收到一个类似于Facebook页面的邀请后发现的。
这个专家在发表的博客中说:“有一天,我给某个页面上的某一个帖子点了赞,但是我没有点赞或者跟踪这个页面本身,在几天之后,我收到一个来自Facebook的邮件通知,就是我曾经点赞的那个帖子所在的页面发来的,邀请我为这个页面本身点赞,我对这个功能表示惊讶,随后我意识到,这是一个针对非粉丝用户的功能,于是我开始思考这个新功能将会产生什么问题呢?”
“在我正在做的一个关于办公室欺诈和钓鱼邮件的调查中,我总是盲目的显示原始信息。”
研究员们分析了在互联网中发送的邮件源码然后发现了邮件源码中包含页面管理员的名字和其他信息。
这个研究员把这个问题报告给Facebook,Facebook接受了这个问题,而且作为它们bug基金的一部分,决定奖励发现这个问题的人2500美金。
Facebook宣布,为黑客提交的400个漏洞,已经花费了超过880,000美金。
你们中的许多人会认为这个问题并不是很严重,其实恰恰相反,因为数据泄露会在特定环境中对用户的隐私构成威胁。
在商业或者社区页面的情况下,暴露了管理员的身份,攻击者就会通过信息和评论获取他们的目标。
Sophos的博客中写道:“对于许多个人的Facebook页面而言,管理员和页面将会分享同一个身份,所以把管理员的名字放在页面的邮件并没有真的泄露很多信息。但是对于会有很多联合管理员的商业或者社区页面,你不会希望Facebook会展示除了页面名称以外的其他信息,最起码不是主动透露信息。即使发现这个问题不会泄露其他的信息,那至少也可以保护员工个人免受评论和提问的轰炸。”
*参考来源:security affairs,丁牛网安实验室小编EVA编辑,如需转载请标明来自FreeBuf.com。
来源:freebuf.com 2018-02-28 18:54:22 by: DigApis
请登录后发表评论
注册