仍然对上个月的转储的电话号码属于5亿Facebook用户,社交媒体巨头新的隐私危机应对:一个工具,大规模,Facebook账户的链接相关联的电子邮件地址,甚至当用户选择设置,以防止其被公开。
周二流传的一段视频显示,一名研究人员演示了一个名为Facebook电子邮件搜索v1.0的工具,他说该工具每天可以将Facebook账户链接到多达500万个电子邮件地址。这位研究人员说,他是在Facebook宣布他发现的缺陷“重要”到不需要给该工具提供一份包含65000个电子邮件地址的列表,然后观察接下来发生了什么。
“正如你从输出日志中看到的,我从它们那里得到了大量的结果,”在视频中显示该工具处理地址列表时,研究人员说。“我大概花了10美元购买了200多个Facebook账户。在3分钟内,我已经帮6000个(电子邮件)账户搞定了。”
Ars在不被分享的条件下获得了视频。完整的音频记录出现在这篇文章的结尾。
把球
Facebook在一份声明中表示:“看来我们在将漏洞赏金报告发送给相关团队之前错误地关闭了这份报告。”我们感谢研究人员分享信息,并正在采取初步行动来缓解这一问题,同时我们将继续跟进,更好地了解他们的发现。”
当被问及Facebook是否告诉研究人员它认为该漏洞不够重要,不需要进行修复时,Facebook的一名代表没有做出回应。这位代表说,Facebook的工程师相信他们已经通过禁用视频中显示的技术来减轻泄漏。
这位Ars同意不透露姓名的研究人员说,Facebook电子邮件搜索利用了他最近向Facebook报告的一个前端漏洞,但“他们(Facebook)认为这个漏洞不够重要,不需要打补丁。”今年早些时候,Facebook也有过类似的漏洞,但最终得到了修复。
“这本质上是相同的弱点,”研究人员说。“出于某种原因,尽管我向Facebook展示了这一点,并让他们知道了,但他们直接告诉我,他们不会采取行动反对它。”
在推特上
Facebook一直受到抨击,不仅是因为它为这些大规模数据收集提供了手段,还因为它积极试图宣传这些数据对Facebook用户造成的伤害最小这一理念。Facebook无意中发给荷兰出版物的一名记者的一封电子邮件Datanews.指示公关人员“将此作为一个广泛的行业问题,并将这种活动经常发生的事实正常化。”Facebook也对抓取和黑客攻击或入侵进行了区分。
目前还不清楚是否有人积极利用这个漏洞建立了一个庞大的数据库,但这肯定不会令人惊讶。“我认为这是一个相当危险的弱点,我希望能帮助阻止它,”研究人员说。
以下是视频的文字记录:
因此,我想演示的是Facebook内的积极漏洞,它允许恶意用户查询,UM,Facebook内的电子邮件地址,并具有Facebook返回,任何匹配的用户。
这与Facebook的前端漏洞有关,我已经向他们报告了,让他们意识到,他们认为没有足够的重要性来修补,我认为这是相当严重的,隐私侵犯和一个大问题。
此方法目前正在软件中使用,即现在在黑客社区内可用。
目前它被用来攻击Facebook账户,目的是占领页面组和Facebook广告账户,显然是为了赚钱。我在没有JS的情况下建立了这个可视化的例子。
我在这里做的是,呃,我取了250个Facebook账户,新注册的Facebook账户,我花了大约10美元在网上购买的。
我查询了65000个电子邮件地址。从输出日志中可以看到,我得到了大量的结果。
如果我查看输出文件,您可以看到我有一个用户ID名和与输入电子邮件地址相匹配的电子邮件地址,我已经使用了它。现在我用2个账号购买了200多个Facebook账号,大概花了10美元。不到三分钟,我就帮6000个客户搞定了。
我已经在更大的范围内进行了测试,可以使用它每天提取多达500万个电子邮件地址。
今年早些时候,Facebook有一个漏洞,已经被修补过了。这本质上是相同的弱点。出于某种原因,尽管我向Facebook展示了这一点并让他们意识到,他们还是直接告诉我,他们不会采取行动反对它。
所以我向你们这样的人伸出了援手,希望你们能利用你们的影响力或人脉来阻止这件事,因为我非常非常有信心。
这不仅仅是一个巨大的隐私违规,但这将导致新的另一个大型数据转储,包括电子邮件,这将允许不受欢迎的派对,不仅要拥有这一点,请uh,电子邮件给用户id匹配,而是要附加电子邮件地址到Phone号码,它在以前的漏洞中可用,UM,我很高兴地展示前端漏洞,以便您可以看到这是如何工作的。
我不打算在这个视频中展示的只是因为我不想视频,嗯,我不想被利用的方法,但是如果我很高兴,证明它,嗯,如果这是必要的,但如你所见,你可以看到继续输出越来越多。我认为这是一个相当危险的弱点,我想帮助阻止它。
145年读者评论
这个工具只有在你有一个信誉良好的Facebook账户时才有效。250个账户让他可以不断地收集数据。当Facebook关闭一个账户时,攻击者就会使用一个新的账户。
是否存在一些与通常的“使用他们的电子邮件地址找到可能已经在这里的其他朋友”注册流程相关的缺陷?
(胡乱猜想)
编辑:可能是错误的一个如上所述。
最后一次编辑lapsaplo.2021年4月20日星期二晚上9:02
这个工具只有在你有一个信誉良好的Facebook账户时才有效。250个账户让他可以不断地收集数据。当Facebook关闭一个账户时,攻击者就会使用一个新的账户。
谢谢你的澄清!
一分钱一分货。
但是,宣誓和不愿意拥有他们的错误......也许在Gen Z之后的一代将反击社交媒体一般并掏空Facebook,等千禧一代反对有线电视的方式。可能是一厢情愿的思考。
我相信在未来的几十年里,它将是一个重要的玩家,但在这类东西和愤怒的货币化之间,我真的希望看到他们被迫失败或将自己改造成更良性的东西。
需要有一个可行的替代方案来替代他们的消费者(与客户非常不同的人)认为有价值的服务。我看不出地平线上有什么。新事物可能会吸引z世代的人,但千禧一代、x世代和婴儿潮一代不会这么快就实现平台跳跃。
https://peergos.org/posts/decentralized-social-media
刚刚发布并处于测试阶段…但良好的数据隐私精神!
一分钱一分货。
..“你不花钱买的东西会让你得到你自己”的推论。
一分钱一分货。
就像他们说,如果你不支付它,你就是产品。
https://peergos.org/posts/decentralized-social-media
刚刚发布并处于测试阶段…但良好的数据隐私精神!
我一直想知道是否可以完成分散的社交媒体。也许Ars可以做一篇文章。
我正在阅读的方式并不是它是它的受损帐户,而只是在农场制造的账户,以获得销售。
这个工具只有在你有一个信誉良好的Facebook账户时才有效。250个账户让他可以不断地收集数据。当Facebook关闭一个账户时,攻击者就会使用一个新的账户。
伟大的澄清。也许值得把这个问题放在文章中,或者在文字记录或其他地方之前加上一个解释?我也有这个问题。很高兴在评论中看到回复。
袜子木偶折扣,过道三...
这个工具只有在你有一个信誉良好的Facebook账户时才有效。250个账户让他可以不断地收集数据。当Facebook关闭一个账户时,攻击者就会使用一个新的账户。
谢谢你的澄清。从文字记录来看他只是为了验证身份才用的。我没有想到他是用它们作为钥匙进入FB系统来启动收割机。还有其他信息吗比如在某个账户被关闭前他能提取到多少账户?
这个工具只有在你有一个信誉良好的Facebook账户时才有效。250个账户让他可以不断地收集数据。当Facebook关闭一个账户时,攻击者就会使用一个新的账户。
谢谢你的澄清。从文字记录来看他只是为了验证身份才用的。我没有想到他是用它们作为钥匙进入FB系统来启动收割机。还有其他信息吗比如在某个账户被关闭前他能提取到多少账户?
在这个例子中,他使用了250个账户来处理65000封电子邮件。所以至少是65000/250 = 260。但很难说65000是不是正确的数字。
我有一个半月有一点时间:哦,我没有谈论[相对],我觉得很糟糕,也许我应该检查Facebook
此外,facebook大约每个月都会发生一次重大数据泄露事件(除此之外,facebook每年365天都在出售这些数据)。从我登录到现在已经一年多了,是的,这实际上是我内心的一场拔河比赛……但到目前为止,我觉得我做了一个(艰难但正确的)选择。
对我来说,最冒犯的事情是如果你拒绝使用放屁手册,最终会在你和朋友,家人之间建立一道障碍。
https://peergos.org/posts/decentralized-social-media
刚刚发布并处于测试阶段…但良好的数据隐私精神!
分散和加密具有明确的优势。但它也意味着没有追索或控制骚扰和其他类型的犯罪。
https://peergos.org/posts/decentralized-social-media
刚刚发布并处于测试阶段…但良好的数据隐私精神!
分散和加密具有明确的优势。但它也意味着没有追索或控制骚扰和其他类型的犯罪。
这与Facebook并没有什么不同。
https://peergos.org/posts/decentralized-social-media
刚刚发布并处于测试阶段…但良好的数据隐私精神!
分散和加密具有明确的优势。但它也意味着没有追索或控制骚扰和其他类型的犯罪。
这与Facebook并没有什么不同。
我不会说Facebook上没有。它可能严重不足,但有一些,他们回应法律询问。没有一个平台能把所有的信息都收集起来。
Peergos还提供了无限的安全文件共享。这很明显会被滥用。
的剧情!你的数据仍然存在,尽管你删除了你的帐户(它是坐在一个“被清除(当我们觉得它)”目录)和你被doxed无论如何!
哦,爆炸!
这个工具只有在你有一个信誉良好的Facebook账户时才有效。250个账户让他可以不断地收集数据。当Facebook关闭一个账户时,攻击者就会使用一个新的账户。
通过账户循环和骑自行车允许您留在配额下。
这也实际上适用于带有少数(不是微不足道)的修改的电话号码。
我正在阅读的方式并不是它是它的受损帐户,而只是在农场制造的账户,以获得销售。
这可能就是facebook宣称拥有“数十亿”用户的方式。
编辑:忍者
最后一次编辑Bloodninja.2021年4月20日星期二晚上11:05
https://peergos.org/posts/decentralized-social-media
刚刚发布并处于测试阶段…但良好的数据隐私精神!
我一直想知道是否可以完成分散的社交媒体。也许Ars可以做一篇文章。
这是可以做到的,但人们喜欢免费,也喜欢简单。自由意味着广告支持。简单意味着雇佣专业人员(尽管Reddit是一个部分反例)。再加上网络效应,免费/集中的社交媒体很难与之竞争。
你必须登录或创建一个帐户评论。