118金宝app

视频演示,

坚持住。Facebook面临着一个新的重大泄密事件

研究人员称,Facebook电子邮件搜索v1.0每天可以处理500万个电子邮件地址。

-

1和0掩盖了一群不知名的面孔。
放大
盖蒂张照片

仍然对上个月的转储的电话号码属于5亿Facebook用户,社交媒体巨头新的隐私危机应对:一个工具,大规模,Facebook账户的链接相关联的电子邮件地址,甚至当用户选择设置,以防止其被公开。

周二流传的一段视频显示,一名研究人员演示了一个名为Facebook电子邮件搜索v1.0的工具,他说该工具每天可以将Facebook账户链接到多达500万个电子邮件地址。这位研究人员说,他是在Facebook宣布他发现的缺陷“重要”到不需要给该工具提供一份包含65000个电子邮件地址的列表,然后观察接下来发生了什么。

“正如你从输出日志中看到的,我从它们那里得到了大量的结果,”在视频中显示该工具处理地址列表时,研究人员说。“我大概花了10美元购买了200多个Facebook账户。在3分钟内,我已经帮6000个(电子邮件)账户搞定了。”

放大

Ars在不被分享的条件下获得了视频。完整的音频记录出现在这篇文章的结尾。

把球

Facebook在一份声明中表示:“看来我们在将漏洞赏金报告发送给相关团队之前错误地关闭了这份报告。”我们感谢研究人员分享信息,并正在采取初步行动来缓解这一问题,同时我们将继续跟进,更好地了解他们的发现。”

当被问及Facebook是否告诉研究人员它认为该漏洞不够重要,不需要进行修复时,Facebook的一名代表没有做出回应。这位代表说,Facebook的工程师相信他们已经通过禁用视频中显示的技术来减轻泄漏。

这位Ars同意不透露姓名的研究人员说,Facebook电子邮件搜索利用了他最近向Facebook报告的一个前端漏洞,但“他们(Facebook)认为这个漏洞不够重要,不需要打补丁。”今年早些时候,Facebook也有过类似的漏洞,但最终得到了修复。

“这本质上是相同的弱点,”研究人员说。“出于某种原因,尽管我向Facebook展示了这一点,并让他们知道了,但他们直接告诉我,他们不会采取行动反对它。”

在推特上

Facebook一直受到抨击,不仅是因为它为这些大规模数据收集提供了手段,还因为它积极试图宣传这些数据对Facebook用户造成的伤害最小这一理念。Facebook无意中发给荷兰出版物的一名记者的一封电子邮件Datanews.指示公关人员“将此作为一个广泛的行业问题,并将这种活动经常发生的事实正常化。”Facebook也对抓取和黑客攻击或入侵进行了区分。

目前还不清楚是否有人积极利用这个漏洞建立了一个庞大的数据库,但这肯定不会令人惊讶。“我认为这是一个相当危险的弱点,我希望能帮助阻止它,”研究人员说。

以下是视频的文字记录:

因此,我想演示的是Facebook内的积极漏洞,它允许恶意用户查询,UM,Facebook内的电子邮件地址,并具有Facebook返回,任何匹配的用户。

这与Facebook的前端漏洞有关,我已经向他们报告了,让他们意识到,他们认为没有足够的重要性来修补,我认为这是相当严重的,隐私侵犯和一个大问题。

此方法目前正在软件中使用,即现在在黑客社区内可用。

目前它被用来攻击Facebook账户,目的是占领页面组和Facebook广告账户,显然是为了赚钱。我在没有JS的情况下建立了这个可视化的例子。

我在这里做的是,呃,我取了250个Facebook账户,新注册的Facebook账户,我花了大约10美元在网上购买的。

我查询了65000个电子邮件地址。从输出日志中可以看到,我得到了大量的结果。

如果我查看输出文件,您可以看到我有一个用户ID名和与输入电子邮件地址相匹配的电子邮件地址,我已经使用了它。现在我用2个账号购买了200多个Facebook账号,大概花了10美元。不到三分钟,我就帮6000个客户搞定了。

我已经在更大的范围内进行了测试,可以使用它每天提取多达500万个电子邮件地址。

今年早些时候,Facebook有一个漏洞,已经被修补过了。这本质上是相同的弱点。出于某种原因,尽管我向Facebook展示了这一点并让他们意识到,他们还是直接告诉我,他们不会采取行动反对它。

所以我向你们这样的人伸出了援手,希望你们能利用你们的影响力或人脉来阻止这件事,因为我非常非常有信心。

这不仅仅是一个巨大的隐私违规,但这将导致新的另一个大型数据转储,包括电子邮件,这将允许不受欢迎的派对,不仅要拥有这一点,请uh,电子邮件给用户id匹配,而是要附加电子邮件地址到Phone号码,它在以前的漏洞中可用,UM,我很高兴地展示前端漏洞,以便您可以看到这是如何工作的。

我不打算在这个视频中展示的只是因为我不想视频,嗯,我不想被利用的方法,但是如果我很高兴,证明它,嗯,如果这是必要的,但如你所见,你可以看到继续输出越来越多。我认为这是一个相当危险的弱点,我想帮助阻止它。

丹Goodin丹是Ars Technica的安全编辑,他于2012年加入该公司,之前曾为the Register、美联社、彭博新闻社和其他出版物工作。
电子邮件 dan.goodin@www.calpashop.com // 推特 @dangoodin001

145年读者评论

  1. zogusArs长官
    所以漏洞就在于,如果我知道一个电子邮件地址,我就能找到相关的Facebook账户名,对吧?“购买250个Facebook账户”怎么会与这次袭击有关呢?这些记录是发动袭击的切入点吗?
    |注册了3463个帖子
  2. sep332Ars长官 118金宝app
    请密切关注从Facebook的一份备忘录中泄露出来的这些策略:将泄密事件轻描淡写为“正在进行中”,而不是有新闻价值的事件;假装这是一个全行业的问题,而不是他们唯一不擅长的事情。 https://twitter.com/PrivacyMatters/stat…8888796162
    3817帖子|挂号的
  3. everythingallatonce拳王,正在训练中 118金宝app
    我可能漏掉了什么,但买这些账户有什么意义?仅仅是不需要经历产生它们的过程吗?
    63个帖子|注册
  4. LeftTurns聪明,年老的Ars老兵
    正如其他人所说,我不明白为什么他正在购买Facebook帐户。这是一次执行许多搜索吗?
    122帖子|挂号的
  5. dangoodinArs Scholae Palatinae 118金宝app
    zogus写道:
    所以漏洞就在于,如果我知道一个电子邮件地址,我就能找到相关的Facebook账户名,对吧?“购买250个Facebook账户”怎么会与这次袭击有关呢?这些记录是发动袭击的切入点吗?


    这个工具只有在你有一个信誉良好的Facebook账户时才有效。250个账户让他可以不断地收集数据。当Facebook关闭一个账户时,攻击者就会使用一个新的账户。
    1317个帖子|注册
  6. lapsaplo.Ars禁卫队的 118金宝app
    LeftTurns写道:
    正如其他人所说,我不明白为什么他正在购买Facebook帐户。这是一次执行许多搜索吗?

    是否存在一些与通常的“使用他们的电子邮件地址找到可能已经在这里的其他朋友”注册流程相关的缺陷?

    (胡乱猜想)

    编辑:可能是错误的一个如上所述。

    最后一次编辑lapsaplo.2021年4月20日星期二晚上9:02

    502帖子|注册
  7. zogusArs长官
    dangoodin写道:
    zogus写道:
    所以漏洞就在于,如果我知道一个电子邮件地址,我就能找到相关的Facebook账户名,对吧?“购买250个Facebook账户”怎么会与这次袭击有关呢?这些记录是发动袭击的切入点吗?


    这个工具只有在你有一个信誉良好的Facebook账户时才有效。250个账户让他可以不断地收集数据。当Facebook关闭一个账户时,攻击者就会使用一个新的账户。

    谢谢你的澄清!
    |注册了3463个帖子
  8. sgageArs禁卫队的
    是时候关闭这个反社会的公司了。他们不仅在处理你的数据时黏糊糊的,而且完全无能。他们不在乎。
    483帖子|挂号的
  9. MartianNickArs百夫长
    Facebook就是这样一场垃圾箱大火。我希望有更好的选择。
    403篇帖子,|注册
  10. hakalau汤姆拳王,正在训练中 118金宝app
    MartianNick写道:
    Facebook就是这样一场垃圾箱大火。我希望有更好的选择。

    一分钱一分货。
    63个帖子|注册
  11. dluxArs Legatus Legionis
    我认为Facebook现在正处于“借来的时间”中。
    |注册了23787个帖子
  12. TrondalArs禁卫队的 118金宝app
    老实说,那封发给荷兰记者的邮件比这个bug更让我心烦。并不是说它不应该被修复,如果Facebook放弃了它,那它就真的很糟糕。

    但是,宣誓和不愿意拥有他们的错误......也许在Gen Z之后的一代将反击社交媒体一般并掏空Facebook,等千禧一代反对有线电视的方式。可能是一厢情愿的思考。

    我相信在未来的几十年里,它将是一个重要的玩家,但在这类东西和愤怒的货币化之间,我真的希望看到他们被迫失败或将自己改造成更良性的东西。
    449帖子|挂号的
  13. DefenestrarArs长官 118金宝app
    dlux写道:
    我认为Facebook现在正处于“借来的时间”中。

    需要有一个可行的替代方案来替代他们的消费者(与客户非常不同的人)认为有价值的服务。我看不出地平线上有什么。新事物可能会吸引z世代的人,但千禧一代、x世代和婴儿潮一代不会这么快就实现平台跳跃。
    |注册了3338个帖子
  14. mishgo莱科斯毕业生 118金宝app
    MartianNick写道:
    Facebook就是这样一场垃圾箱大火。我希望有更好的选择。


    https://peergos.org/posts/decentralized-social-media

    刚刚发布并处于测试阶段…但良好的数据隐私精神!
    12个帖子|挂号的
  15. jwbakerArs长官
    Facebook账户每个5美分,这有点令人不安。谷歌账户滥用团队在黑帽交易网站上监控谷歌用户账户的价格,如果一切顺利,被盗账户的价格是几美元。
    |注册了3542个帖子
  16. TheNewShinyArs Scholae Palatinae 118金宝app
    hakalau汤姆写道:
    MartianNick写道:
    Facebook就是这样一场垃圾箱大火。我希望有更好的选择。

    一分钱一分货。

    ..“你不花钱买的东西会让你得到你自己”的推论。
    |注册了684个帖子
  17. 的互联网人Ars Scholae Palatinae 118金宝app
    记住:如果你在Facebook工作,你应该找一份不同的工作。
    |注册了8954个帖子
  18. xaxxonArs Scholae Palatinae
    请编辑讲稿,以便清晰。我不需要通读里面的"嗯"
    729个帖子|注册
  19. qytisArs百夫长
    Facebook是一个很棒的网站,令人难以置信的工作。我唯一的遗憾是在2016年大规模造谣活动和缅甸大屠杀后删除了我的账户。我应该留下来,让自己的电话号码和电子邮件地址被人发送。好吧,回顾2020年。
    288帖子|挂号的
  20. dynamicrain拳王,正在训练中
    我想抄本里的no JS应该是node JS吧?语音到短信经常会搞砸。
    1帖子|挂号的
  21. DaVuVuZeLaArs Tribunus Militum
    谢天谢地,我放弃facebook的时候把邮箱地址改成了一次性账户。
    1737帖子|挂号的
  22. terrydactylArs Tribunus Militum 118金宝app
    hakalau汤姆写道:
    MartianNick写道:
    Facebook就是这样一场垃圾箱大火。我希望有更好的选择。

    一分钱一分货。

    就像他们说,如果你不支付它,你就是产品。
    2076帖子|挂号的
  23. 他的风筝Ars百夫长 118金宝app
    最近收到了来自facebook招聘人员的另一个邀请。我希望我这次够不礼貌,他们不再联系我了。我可能提到过纳粹。
    |注册了261个帖子
  24. terrydactylArs Tribunus Militum 118金宝app
    mishgo写道:
    MartianNick写道:
    Facebook就是这样一场垃圾箱大火。我希望有更好的选择。


    https://peergos.org/posts/decentralized-social-media

    刚刚发布并处于测试阶段…但良好的数据隐私精神!

    我一直想知道是否可以完成分散的社交媒体。也许Ars可以做一篇文章。
    2076帖子|挂号的
  25. 安迪阿Ars百夫长
    jwbaker写道:
    Facebook账户每个5美分,这有点令人不安。谷歌账户滥用团队在黑帽交易网站上监控谷歌用户账户的价格,如果一切顺利,被盗账户的价格是几美元。

    我正在阅读的方式并不是它是它的受损帐户,而只是在农场制造的账户,以获得销售。
    262篇帖子,|注册
  26. Ars Scholae Palatinae 118金宝app
    dangoodin写道:
    zogus写道:
    所以漏洞就在于,如果我知道一个电子邮件地址,我就能找到相关的Facebook账户名,对吧?“购买250个Facebook账户”怎么会与这次袭击有关呢?这些记录是发动袭击的切入点吗?


    这个工具只有在你有一个信誉良好的Facebook账户时才有效。250个账户让他可以不断地收集数据。当Facebook关闭一个账户时,攻击者就会使用一个新的账户。


    伟大的澄清。也许值得把这个问题放在文章中,或者在文字记录或其他地方之前加上一个解释?我也有这个问题。很高兴在评论中看到回复。
    722个帖子|注册
  27. 怕老婆的Ars长官 118金宝app
    jwbaker写道:
    Facebook账户每个5美分,这有点令人不安。谷歌账户滥用团队在黑帽交易网站上监控谷歌用户账户的价格,如果一切顺利,被盗账户的价格是几美元。


    袜子木偶折扣,过道三...
    4388帖子|挂号的
  28. nbs2Ars长官
    dangoodin写道:
    zogus写道:
    所以漏洞就在于,如果我知道一个电子邮件地址,我就能找到相关的Facebook账户名,对吧?“购买250个Facebook账户”怎么会与这次袭击有关呢?这些记录是发动袭击的切入点吗?


    这个工具只有在你有一个信誉良好的Facebook账户时才有效。250个账户让他可以不断地收集数据。当Facebook关闭一个账户时,攻击者就会使用一个新的账户。


    谢谢你的澄清。从文字记录来看他只是为了验证身份才用的。我没有想到他是用它们作为钥匙进入FB系统来启动收割机。还有其他信息吗比如在某个账户被关闭前他能提取到多少账户?
    |注册了3403个帖子
  29. jdaleArs Tribunus Angusticlavius 118金宝app
    nbs2写道:
    dangoodin写道:
    zogus写道:
    所以漏洞就在于,如果我知道一个电子邮件地址,我就能找到相关的Facebook账户名,对吧?“购买250个Facebook账户”怎么会与这次袭击有关呢?这些记录是发动袭击的切入点吗?


    这个工具只有在你有一个信誉良好的Facebook账户时才有效。250个账户让他可以不断地收集数据。当Facebook关闭一个账户时,攻击者就会使用一个新的账户。


    谢谢你的澄清。从文字记录来看他只是为了验证身份才用的。我没有想到他是用它们作为钥匙进入FB系统来启动收割机。还有其他信息吗比如在某个账户被关闭前他能提取到多少账户?


    在这个例子中,他使用了250个账户来处理65000封电子邮件。所以至少是65000/250 = 260。但很难说65000是不是正确的数字。
    |注册了13456个帖子
  30. netblazArs Tribunus Militum
    MartianNick写道:
    Facebook就是这样一场垃圾箱大火。我希望有更好的选择。


    我有一个半月有一点时间:哦,我没有谈论[相对],我觉得很糟糕,也许我应该检查Facebook

    此外,facebook大约每个月都会发生一次重大数据泄露事件(除此之外,facebook每年365天都在出售这些数据)。从我登录到现在已经一年多了,是的,这实际上是我内心的一场拔河比赛……但到目前为止,我觉得我做了一个(艰难但正确的)选择。

    对我来说,最冒犯的事情是如果你拒绝使用放屁手册,最终会在你和朋友,家人之间建立一道障碍。
    1563帖子|挂号的
  31. jdaleArs Tribunus Angusticlavius 118金宝app
    mishgo写道:
    MartianNick写道:
    Facebook就是这样一场垃圾箱大火。我希望有更好的选择。


    https://peergos.org/posts/decentralized-social-media

    刚刚发布并处于测试阶段…但良好的数据隐私精神!


    分散和加密具有明确的优势。但它也意味着没有追索或控制骚扰和其他类型的犯罪。
    |注册了13456个帖子
  32. 的互联网人Ars Scholae Palatinae 118金宝app
    jdale写道:
    mishgo写道:
    MartianNick写道:
    Facebook就是这样一场垃圾箱大火。我希望有更好的选择。


    https://peergos.org/posts/decentralized-social-media

    刚刚发布并处于测试阶段…但良好的数据隐私精神!


    分散和加密具有明确的优势。但它也意味着没有追索或控制骚扰和其他类型的犯罪。


    这与Facebook并没有什么不同。
    |注册了8954个帖子
  33. jdaleArs Tribunus Angusticlavius 118金宝app
    的互联网人写道:
    jdale写道:
    mishgo写道:
    MartianNick写道:
    Facebook就是这样一场垃圾箱大火。我希望有更好的选择。


    https://peergos.org/posts/decentralized-social-media

    刚刚发布并处于测试阶段…但良好的数据隐私精神!


    分散和加密具有明确的优势。但它也意味着没有追索或控制骚扰和其他类型的犯罪。


    这与Facebook并没有什么不同。


    我不会说Facebook上没有。它可能严重不足,但有一些,他们回应法律询问。没有一个平台能把所有的信息都收集起来。

    Peergos还提供了无限的安全文件共享。这很明显会被滥用。
    |注册了13456个帖子
  34. Feenicks莱科斯毕业生
    qytis写道:
    Facebook是一个很棒的网站,令人难以置信的工作。我唯一的遗憾是在2016年大规模造谣活动和缅甸大屠杀后删除了我的账户。我应该留下来,让自己的电话号码和电子邮件地址被人发送。好吧,回顾2020年。

    的剧情!你的数据仍然存在,尽管你删除了你的帐户(它是坐在一个“被清除(当我们觉得它)”目录)和你被doxed无论如何!

    哦,爆炸!
    14帖子|挂号的
  35. betam4xArs Tribunus Militum 118金宝app
    dangoodin写道:
    zogus写道:
    所以漏洞就在于,如果我知道一个电子邮件地址,我就能找到相关的Facebook账户名,对吧?“购买250个Facebook账户”怎么会与这次袭击有关呢?这些记录是发动袭击的切入点吗?


    这个工具只有在你有一个信誉良好的Facebook账户时才有效。250个账户让他可以不断地收集数据。当Facebook关闭一个账户时,攻击者就会使用一个新的账户。


    通过账户循环和骑自行车允许您留在配额下。

    这也实际上适用于带有少数(不是微不足道)的修改的电话号码。
    2205帖子|注册
  36. 灰色Ars Legatus Legionis 118金宝app
    安迪阿写道:
    jwbaker写道:
    Facebook账户每个5美分,这有点令人不安。谷歌账户滥用团队在黑帽交易网站上监控谷歌用户账户的价格,如果一切顺利,被盗账户的价格是几美元。

    我正在阅读的方式并不是它是它的受损帐户,而只是在农场制造的账户,以获得销售。


    这可能就是facebook宣称拥有“数十亿”用户的方式。
    36492帖子|注册
  37. Bloodninja.Ars Tribunus Militum
    抄本说“no js”,但它几乎应该是“node.js”。

    编辑:忍者

    最后一次编辑Bloodninja.2021年4月20日星期二晚上11:05

    3646帖子|挂号的
  38. Rochefort.Ars Tribunus Militum
    terrydactyl写道:
    mishgo写道:
    MartianNick写道:
    Facebook就是这样一场垃圾箱大火。我希望有更好的选择。


    https://peergos.org/posts/decentralized-social-media

    刚刚发布并处于测试阶段…但良好的数据隐私精神!

    我一直想知道是否可以完成分散的社交媒体。也许Ars可以做一篇文章。

    这是可以做到的,但人们喜欢免费,也喜欢简单。自由意味着广告支持。简单意味着雇佣专业人员(尽管Reddit是一个部分反例)。再加上网络效应,免费/集中的社交媒体很难与之竞争。
    2381个帖子|注册

你必须评论。

渠道Ars Technica