Die Facebook-Suche kann missbraucht werden, um Leute zu finden, sagen die Forscher

Angreifer können die Facebook-Suchfunktion missbrauchen, um gültige Telefonnummern und den Namen ihrer Besitzer zu finden, nach Sicherheitsforschern.

Der Angriff ist möglich, weil Facebook beschränkt nicht die Anzahl der Telefonnummern-Suchen, die von einem Benutzer über die mobile Version seiner Website durchgeführt werden können, Suriya Prakash, ein unabhängiger Sicherheitsforscher sagte in einem aktuellen Blog-Post.

Facebook ermöglicht Benutzern, ihre Telefonnummern zuzuordnen mit ihren Konten. Tatsächlich ist eine Handynummer erforderlich, um ein neues Facebook-Konto zu überprüfen und Funktionen wie Video-Upload oder Timeline-URL-Personalisierung freizuschalten.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Beim Hinzufügen von Telefonnummern in Im Bereich "Kontaktinformationen" auf den jeweiligen Facebook-Profilseiten können Benutzer auswählen, ob sie diese Informationen für die Öffentlichkeit, nur für ihre Freunde oder nur für sich selbst sichtbar machen möchten. Dies ist eine gute Datenschutzoption.

Facebook ermöglicht es Benutzern auch, andere Personen auf der Website zu finden, indem sie nach den Telefonnummern dieser Personen im internationalen Format suchen.

Benutzer können mithilfe einer der Optionen unter "Datenschutzeinstellungen"> "Wie Sie Verbinden Sie ">" Wer kann Sie mit der von Ihnen angegebenen E-Mail-Adresse oder Telefonnummer suchen? " Diese Einstellung ist standardmäßig auf "Jeder" eingestellt.

Dies bedeutet, dass selbst wenn Sie die Sichtbarkeit Ihrer Telefonnummer auf Ihrer Profilseite auf "Nur ich" einstellen, jemand, der Ihre Telefonnummer kennt, Sie trotzdem auf Facebook finden kann Sie ändern die zweite Einstellung zu "Freunde" oder "Freunde von Freunden". Es gibt keine Möglichkeit, zu verhindern, dass alle Ihr Profil mit Ihrer Telefonnummer finden.

Da die meisten Benutzer den Standardwert dieser Einstellung nicht ändern, ist es möglich, dass ein Angreifer eine Liste mit sequenziellen Telefonnummern innerhalb einer ausgewählten Telefonnummer erstellt Bereich - zum Beispiel von einem bestimmten Betreiber - und nutzen Sie Facebook Suchfeld, um zu entdecken, zu wem sie gehören, sagte Prakash. Eine zufällige Telefonnummer mit einem Namen zu verbinden, ist der Traum jedes Werbetreibenden und diese Art von Listen würde einen hohen Preis auf dem Schwarzmarkt erzielen, sagte er.

Prakash behauptet, dass er dieses Angriffsszenario mit dem Sicherheitsteam von Facebook im August geteilt hat Erste Antwort am 31. August: Alle seine E-Mails blieben bis zum 2. Oktober unbeantwortet, als ein Facebook-Vertreter antwortete und sagte, dass die Rate, mit der Nutzer auf der Website gefunden werden können, einschließlich Telefonnummern, eingeschränkt ist.

Die mobile Version der Facebook-Website - m.facebook.com - scheint jedoch keine Beschränkung der Suchgeschwindigkeit zu haben, sagte Prakash.

Der Forscher generierte Zahlen mit US-amerikanischen und indischen Länderpräfixen und erstellte einen einfachen Beweis Konzept (PoC) Makro-Skript, das auf Facebook nach ihnen suchte und diejenigen, die mit Facebook-Profilen gefunden wurden, zusammen mit den Namen ihrer Besitzer gespeichert.

Prakash sagte, dass er beschloss, die Sicherheitslücke ein paar Tage offen zu legen achtern Er schickte sein PoC-Skript an Facebook, weil das Unternehmen nicht reagierte. Prakash veröffentlichte sogar 850 teilweise verschleierte Telefonnummern und zugehörige Namen, die, wie er behauptete, einen sehr kleinen Teil der Daten darstellten, die er während seiner Tests erhielt.

"Es ist ungefähr eine Woche her, seit ich angefangen habe, es zu betreiben wurde blockiert ", sagte Prakash Montag per E-Mail. "Ich habe ihnen sogar [Facebook] heute Morgen (Indische Zeit) noch keine Antwort gegeben."

Facebook hat keine Anfrage für einen Kommentar am Montag gesendet.

Ein anderer Forscher testet

Nach Prakashs öffentlicher Enthüllung, Tyler Borland, Ein Sicherheitsforscher mit dem Netzwerksicherheitsanbieter Alert Logic hat ein noch effizienteres Skript erstellt, mit dem bis zu zehn Facebook-Telefonsuchvorgänge gleichzeitig ausgeführt werden können. Borlands Skript heißt "Facebook Phone Crawler" und kann nach Rufnummern aus einem vom Benutzer festgelegten Bereich suchen.

"Mit den Standardeinstellungen konnte ich jede Sekunde die Daten für 1 Telefonnummer verifizieren", sagte Borland am Montag per E-Mail. "Sie [Facebook] verwenden keinerlei Ratenbegrenzung oder ich habe dieses Limit noch nicht erreicht. Auch hier habe ich hunderte Anfragen in kurzen Zeitabständen geschickt und es ist nichts passiert."

Mit Borlands Script läuft auf einem großen Botnet - über 100.000 Computer - ein Angreifer könnte innerhalb weniger Tage die Telefonnummern und Namen der meisten Facebook-Nutzer mit Handynummern finden, die mit ihren Konten verknüpft sind, sagte Prakash.

Es ist beunruhigend, dass diese Schwachstelle noch offen ist öffentliche Tools verfügbar, um es zu nutzen, sagte Bogdan Botezatu, ein Senior E-Threat Analyst bei Antiviren-Anbieter Bitdefender, per E-Mail am Montag. Nur wenige Benutzer ändern ihre Standard-Privatsphäre-Einstellungen, sagte er.

Dies ist ein weiteres Beispiel dafür, wie ein großes Feature missbraucht werden kann, wenn Sicherheitsmechanismen schlecht implementiert sind oder vollständig fehlen, sagte Botezatu. "Im Gegensatz zu E-Mail-Nachrichten oder Blog-Kommentaren ist das Anrufen eines Benutzers per Telefon bei einem Speak-Phishing-Angriff viel effektiver, vor allem weil der Computerbenutzer nicht weiß, dass seine Telefonnummer möglicherweise in der Falsche Hände: Ein Angreifer kann den Benutzer in Verbindung mit den Benutzerinformationen in seinem Profil dazu bringen, persönliche Informationen in kürzester Zeit zu übermitteln. "

Phishing-Angriffe und andere Arten von Telefonbetrug sind üblich und ihre Erfolgsquote ist bereits hoch, Botezatu sagte.

"Jetzt stell dir vor, dass diese Betrüger dich mit deinem vollen Namen ansprechen und ihre Aussagen mit Informationen über dich sichern, die direkt aus deinem [Facebook] Profil stammen." Botezatu sagte.