Баг Facebook позволял сайтам получать данные профилей пользователей

Баг Facebook позволял сайтам получать данные профилей пользователей

Facebook исправила очередной баг, который позволял любому веб-сайту извлекать некоторую информацию из профиля пользователя — например, «лайки» и интересы. При этом пользователь ничего не знал о таком сборе данных.

Проблему обнаружил Рон Масас, исследователь в области кибербезопасности из компании Imperva. Специалист обратил внимание, что данные профилей социальной сети недостаточно хорошо защищены от CSRF-атак.

Другими словами, любой веб-ресурс мог тайно получить некий набор данных вашей учетной записи на Facebook в другой вкладке браузера. Масас продемонстрировал, как злонамеренный сайт может встроить IFRAME, чтобы тайно собирать информацию.

«Такая техника позволяет информации пользователя переходить от одного домена к другому. Это значит, что атакующий потенциально мог собирать информацию о пользователе социальной сети и его друзьях, если этот юзер посетит определенный сайт», — говорит исследователь.

Вредоносный сайт в этом случае мог инициировать несколько поисковых запросов Facebook в новой вкладке браузера. Ответы на эти запросы могли содержать значения «да» и «нет» — например: «пользователю нравится данная страница?» > «да».

Масас также отметил, что запросы могли возвращать и более сложные значения — друзей определенного пользователя (включая имена), публикации пользователя с определенными ключевыми словами и тому подобное.

«Уязвимость раскрывала интересы пользователя и его друзей, даже если его настройки приватности позволяли видеть их только друзьям», — объясняет специалист.

Imperva сообщила Facebook о проблеме в мае, после чего социальная сеть быстро приняла меры, реализовав защиту от атак CSRF. Исследователи получили по $8 000 за найденную брешь.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Пароли пользователей ccontent[.]ru в виде простого текста утекли в Сеть

Сервис «готовых постов для Instagram (признана экстремистской и запрещена на территории России) и ВК», находящийся по адресу ccontent[.]ru, стал очередной жертвой утечки. Слитый дамп БД датируется 26 июля 2023 года.

Как пишут «Утечки информации», скомпрометированными оказались данные зарегистрированных пользователей. В соответствующей таблице нашли более 22 тысяч телефонных номером и паролей в виде простого текста.

 

Буквально на днях стало известно о сливе данных авиапассажиров из системы Leonardo/Сирена. В то же время депутат Госдумы Александр Хинштейн считает, что основная причина утечек данных — кибератаки со стороны Украины.

А на прошлой неделе в паблике обнаружили исходники Ubiquiti, что поставило под угрозу не только интеллектуальную собственность вендора, но и его клиентов.

Специалисты центра мониторинга внешних киберугроз Solar AURA также подсчитали, что за последние полгода фрагменты закрытого исходного кода российских компаний просачивались в публичные репозитории более 2,2 тысяч раз.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru