08:43 09.10.2012 |   1411



Независимый исследователь Сурия Пракаш обнаружил в функции поиска по Facebook недоработку, позволяющую формировать пофамильные списки пользователей с их номерами мобильных телефонов. Брешь обусловлена тем, что мобильная версия Facebook не ограничивает количество операций поиска, которые можно выполнить в единицу времени. Facebook требует обязательного ввода телефонного номера для включения некоторых функций социальной сети, и по умолчанию настройка приватности «Кто может найти меня по номеру телефона» установлена в значение «Все». То есть, даже если номер не виден в профиле, вас могут по нему найти.

Пракаш, по его словам, с конца августа неоднократно отправлял уведомления в Facebook, но лишь недавно получил ответ, в котором утверждалось, что число операций поиска ограниченно. По утверждению исследователя, так как это не соответствует действительности, он решил опубликовать скрипт, перебирающий номера телефонов и сохраняющий те из них, которые нашлись при поиске по профилям Facebook. Вскоре еще один исследователь, Тайлер Борланд, создал более эффективный скрипт, выполняющий несколько операций поиска параллельно. По оценке Пракаша, если запустить скрипт Борланда на ботнете из 100 тыс. компьютеров, можно в считанные дни получить телефонные номера большинства пользователей Facebook.


Теги: Информационная безопасность