Инженеры Facebook исправили брешь, через которую могли утекать личные данные - Proxy-Base Community - Анонимность и безопасность в интернете.
Бесплатные прокси. Количество:
Прокси для пользователей форума (API). Количество:
Купить доступ к прокси-листам (API). Количество:
 



Информация по хайдам / репутации

(РЕКОМЕНДУЮ) №1 >>>DDos Атака<<|>>DDoS Service<<< ДДОС СЕРВИС<<|>>Заказать DDOS
Все инфопродукты и приватная информация бесплатно
Старый 15.11.2018, 18:40   #1 (permalink)
VPN
 
Аватар для Proxy-Base-News
 
Регистрация: 16.09.2015
Сообщений: 1,948
Member ID: 35426

Репутация: 21
Репутация: 21
Сказал(а) спасибо: 0
Поблагодарили 7 раз(а) в 7 сообщениях
Топикстартер (автор темы) По умолчанию Инженеры Facebook исправили брешь, через которую могли утекать личные данные

Специалист компании Imperva раскрыл информацию об уже исправленном баге в Facebook. Злоумышленники могли получить доступ к личным данным пользователей и их друзей.

Нашедший проблему исследователь, Рон Масас (Ron Masas) рассказывает, что уязвимость скрывалась в поиске Facebook. Просматривая HTML, специалист заметил, что каждый результат поиска содержит iframe-элемент, очевидно, использующийся для внутреннего трекинга. Масас обнаружил, что по этим iframe’ам в можно определить, вернулся ли поисковый запрос с положительным или отличительным результатом.

Таким образом, используя простой принцип «да/нет», исследователь мог узнать, ставил ли пользователь лайк той или иной странице, делал ли фото в определенных локациях, если ли среди друзей пользователя люди с определенным вероисповеданием, определенным именем, друзья, живущие в конкретной стране или регионе, и так далее и тому подобное. Соединив все эти косвенные данные воедино, потенциальный злоумышленник имел возможность составить весьма детальный «портрет» своей жертвы, выявить личность пользователя и его друзей.

Однако некоторые личные данные все же невозможно было «прощупать» публичным поиском Facebook, и специалист решил обойти и и это ограничение. Масас создал вредоносную PoC-страницу, на которую потенциальный атакующий мог бы заманивать своих жертв. Любое взаимодействие с этой страницей (даже простой клик в любом месте или прокрутка) приводило к исполнению кода JavaScript, автоматически прогонявшему в новой вкладке поисковые запросы через Facebook Graph API. Все, связанное с iframe’ами возвращалось в fb.frames.length и тщательно записывалось.

Исследователь отмечает, что также можно было использовать технику tab under, то есть принудить поиск Facebook незаметно открываться в фоновой вкладке, тогда как основная вредоносная страница могла отвлекать внимание жертвы онлайн игрой, стримингом фильма или чем-то еще. Запись PoC-атаки можно увидеть в ролике.

Специалист пишет, что такую атаку заметит далеко не каждый, ведь у многих людей в браузере открыто такое количество вкладок, что появление еще одной, лишней, они попросту не заметят. При этом атака работала не только против Chrome, но и против других браузеров. Еще хуже пришлось бы мобильным пользователям, ведь на экране смартфона видно лишь число открытых вкладок, а не их содержимое.

В настоящее время уязвимость уже устранена, так как Масас уведомил Facebook о проблеме еще в мае текущего года, и на исправление компании потребовалось совсем немного времени. Причем теперь, когда информация о баге была опубликована открыто, представители Facebook подчеркивают, что следов эксплуатации этой «дырки» выявлено не было.

Источник: https://xakep.ru/2018/11/14/inzhener...ichnye-dannye/
Proxy-Base-News вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Пользователей Telegram заражали через RLO-брешь Proxy-Base-News Новости IT 0 15.02.2018 23:40
В результате взлома Scrum.org могли пострадать данные пользователей сайта Proxy-Base-News Новости IT 0 02.06.2016 00:50
В Сеть утекли личные данные 191 млн американских избирателей Proxy-Base-News Новости IT 0 29.12.2015 23:30
Anonymous слили личные данные участников парижского саммита ООН Proxy-Base-News Новости IT 0 05.12.2015 01:30
В сеть попали личные данные сотен людей, качающих порно NTR Новости IT 12 30.10.2010 14:44




DDoS Protected




Мы в твиттере, Proxy-Base.Org Twitter

Proxy-Base Community - Анонимность и безопасность в интернете.
Наши партнеры: CRC Labs, SEO-Crack.Com, Garsuk.Com, SED Team, Skladchik.com, BSS Family

Powered by vBulletin® | Булка сделана в пекарне®
Copyright © 2000 - , Jelsoft Enterprises Ltd. Перевод: zCarot
Вся информация на сайте выложена исключительно в ознакомительных целях.