Facebook все ще потерпає від торішнього витоку телефонних номерів, що належать 500 мільйонам користувачів. І тепер найбільша соціальна мережа зіткнулася з новою серйозною проблемою в забезпеченні конфіденційності: з’явився інструмент, який в масовому масштабі дозволяє дізнаватися адреси облікових записів Facebook для тих користувачів, які роблять email загальнодоступним.
У вівторок було опубліковано відео, в якому дослідник продемонстрував роботу інструменту Facebook Email Search 1.0 – він може пов’язувати акаунти Facebook з 5 мільйонами адрес електронної пошти в день. Дослідник сказав, що опублікував інформацію про це після того, як Facebook заявила, що не вважає виявлену ним уразливість досить важливою, щоб її слід було виправляти.
Журналісти ресурсу Ars Technica отримали це відео за умови, не поширювати. Втім, в своєму матеріалі вони опублікували повну транскрипцію аудіосупроводу з ролика. Представники ЗМІ звернулися в Facebook з проханням прокоментувати і отримали відповідь: «Схоже, ми помилково закрили це питання про виявлення уразливості, перш ніж направити його в відповідну команду. Ми цінуємо, що дослідник ділиться цією інформацією, і робимо початкові дії по боротьбі з цією проблемою, а також продовжимо роботу, щоб краще зрозуміти висновки» .
Представник Facebook не відповів на питання, сказала компанія досліднику, що не вважає вразливість досить важливою, щоб займатися виправленням. Співробітник лише сказав, що інженери Facebook вважають, що вже усунули проблему, відключивши можливість використання показаного на відео методу.
Дослідник, що вважає за краще залишатися анонімним, зазначив, що виявлений їм метод пошуку по електронній пошті викликаний вразливістю зовнішнього інтерфейсу – раніше в цьому році у Facebook була аналогічна проблема, яку компанія теж в кінцевому рахунку усунула. «По суті, це та ж сама вразливість , – каже дослідник. – І з якоїсь причини, незважаючи на те що я продемонстрував проблему Facebook і дав їм знати про це, вони прямо сказали мені, що не робитимуть жодних дій для її усунення» .
Неясно, чи користувалися зловмисники (особливо, різні шахраї, які використовують фішинг) подібним методом – це було б дивно.



