Перейти к содержанию

Facebook позволял подглядывать за друзьями


Рекомендуемые сообщения

В сети Facebook был обнаружен серьезный дефект, который позволял просматривать приватную информацию путем выполнения определенных действий. Разработчики устранили его в течение нескольких часов, тем не менее, данный факт заставляет в очередной раз задуматься о безопасности данных, публикуемых в интернете.

 

Крупнейшая в мире социальная сеть Facebook устранила дефект, который позволял видеть, о чем пишут друг другу друзья пользователя в чате. Кроме того, он также позволял получить доступ к чужим спискам пользователей, отправивших запрос на дружбу. Для этого достаточно было выполнить последовательность определенных действий в веб-интерфейсе: зайти в меню Account, далее проследовать в разделы Privacy Settings, Personal Information, затем нажать на кнопку Preview my Profile и ввести имя друга, информацию которого нужно подсмотреть.

 

Дефект был обнаружен редакторами популярного издания TechCrunch, которые сочли его серьезным и немедленно уведомили об этом Facebook. Получив уведомление и убедившись в наличии проблемы разработчики мгновенно отключили функцию чата и выявили причину ее возникновения. В течение нескольких часов дефект был устранен. Когда он появился и сколько времени прошло до его обнаружения, не сообщается.

 

По словам читателей, воспользоваться обнаруженной возможностью получалось не у всех. Однако те, кому это удавалось сделать, были сильно удивлены тем, насколько легко оказывалось получить доступ к переписке друзей, которая была закрыта от посторонних глаз.

 

Эксперты в целом разочарованы уровнем безопасности Facebook, хотя и отмечают высокую скорость реакции. «Для любой организации, а особенно для социальных сетей нарушения системы безопасности представляют серьезную проблему, - считает эксперт из компании Symantec Кандид Вурст (Candid Wueest). – К сожалению, это не первый дефект такого рода, от которого пострадала социальная сеть – другие популярные сайты также испытывали схожие проблемы. И решают они их далеко не так быстро, как это было сделано сейчас». В некоторых случаях, по его словам, на латание дыр уходили дни.

 

440_b86c7.jpg

На устранение дефекта Facebook понадобилось несколько часов

 

Старший технический сотрудник организации Electronic Frontier Foundation (EFF), занимающейся защитой прав в цифровую эпоху, Питер Эккерcли (Peter Eckersley) рекомендует не публиковать в социальных сетях никакую информацию, доступ к которой со стороны третьих лиц может привести к негативным последствиям. «Если вы не хотите, чтобы мир знал о вас что-то, не публикуйте эту информацию в сетях вроде Facebook».

 

Согласно опросам, более половины пользователей социальных сетей отправляют в них важную персональную информацию. К ней специалисты относят семейные фотографии, информацию о месте работы и даже точную дату рождения. При этом 23% пользователей сети Facebook либо не знают о возможности ограничивать доступ к персональным данным, либо никогда не прибегали к помощи этой функции. Эксперты напоминают, что даже если пользователь удалит информацию, она может оставаться на сервере длительное время и выдаваться, например, по запросу государственных структур. В настоящее время различные организации пытаются определить, какой именно уровень безопасности должны предлагать социальные сети. cnews.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • sputnikk
      От sputnikk
      Отец когда-то регистрировался там для игры в шарики, но этого давно нету, поэтому перестал пользоваться.
      Вдруг стали приходить уведомления с запросом на дружбу. Сейчас посмотреть невозможно кто оставляет запросы на дружбу - нет пароля и доступ возможен только через антиблокировку.
       
      Запросы могут оставлять боты или сделал 1 человек много раз? Письма пересылаются мне из ящика отца.

       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Технологии и техника"
    • KL FC Bot
      От KL FC Bot
      В ноябрьском вторничном обновлении Microsoft исправила 89 уязвимостей в своих продуктах, причем две из них активно эксплуатируются. Особый интерес вызывает одна из них, CVE-2024-43451, позволяющая атакующим получить доступ к NTLMv2-хешу жертвы. Казалось бы, она имеет не особенно пугающий рейтинг по шкале CVSS 3.1 — 6,5 / 6,0. Однако при этом ее эксплуатация требует минимального взаимодействия от пользователя, а существует она благодаря движку MSHTML, наследию Internet Explorer, который теоретически отключен, деактивирован и больше не используется. Но при этом уязвимости подвержены все актуальные версии Windows.
      Чем опасна уязвимость CVE-2024-43451
      CVE-2024-43451 позволяет злоумышленнику создать файл, который, попав на компьютер жертвы, позволит атакующему украсть NTLMv2-хеш. NTLMv2 — это протокол сетевой аутентификации, который используется в средах Microsoft Windows. Получив доступ к NTLMv2-хешу, злоумышленник может провернуть атаку типа pass-the-hash и попытаться аутентифицироваться в сети, выдав себя за легитимного пользователя, но не имея при этом его реальных учетных данных.
      Разумеется, для этого недостаточно одной CVE-2024-43451 — для полноценной атаки ему придется воспользоваться дополнительными уязвимостями, но чужой NTLMv2-хеш изрядно облегчит жизнь атакующего. На данный момент дополнительных сведений об атаках, в которых CVE-2024-43451 применяется на практике, у нас нет, но в описании уязвимости четко говорится, что уязвимость публична, эксплуатируема и попытки эксплуатации выявлены.
       
      View the full article
    • dkhilobok
      От dkhilobok
      Осенний набор на стажировку Safeboard уже стартовал!
       
      Время пробовать, исследовать и открывать новые горизонты. Учиться у лучших и быть лучшим.
       
      Можно учиться и работать одновременно? 100%.
      Платим за стажировку? Конечно!
      Во время стажировки ты будешь получать зарплату, бесплатно пользоваться спортзалом, сауной и игровыми комнатами.
       
      Направления стажировки:
      ·       DevOps
      ·       UX/UI-Дизайн
      ·       Анализ данных
      ·       Анализ защищенности
      ·       Локализация ПО
      ·       Разработка C, C++, Java Script, Python, С#
      ·       Системный анализ
      ·       Тестирование (ручное; авто, Python; авто, С# )
       
      Заявку можно подать сразу на 3 направления, а также податься на FAST TRACK (ускоренный отбор на стажировку) в команду Service Desk, для особо нетерпеливых.
       
      Service Desk – это IT-поддержка всей инфраструктуры компании. Через нас проходят все запросы сотрудников «Лаборатории Касперского» к IT: мы первые узнаем о технических неполадках и стараемся решить их максимально быстро и удобно для сотрудников. Наша работа влияет на инфраструктуру всей компании.
       
      Требования к кандидатам:
      - Проживать в Москве или МО, чтобы работать в формате офис или гибрид.
      - Готовность работать от 20 часов в неделю.
      - Обучение в вузе на любом курсе или в Школе 21
       
      Переходи по ссылке и оставляй заявку, приглашай всех заинтересованных!
      Заявку можно подать до 27 октября 2024 года.
      До встречи в команде «Лаборатории Касперского»!
    • KL FC Bot
      От KL FC Bot
      Несмотря на то что слежка в Интернете уже вроде бы стала обыденностью, ее масштабы продолжают поражать воображение — по крайней мере, если эти масштабы правильно донести до пользователя. Сухие факты вроде «За последний час ваш браузер связался с 456 рекламными трекерами» обычно мало о чем говорят. Проблема в том, что подобные цифры лишены контекста и не позволяют проследить связь между действиями пользователя и их последствиями. Другое дело, если бы слежку в Интернете можно было как-нибудь визуализировать или превратить в звук…
      Звучная слежка Google
      Именно это несколько лет назад проделала аудиохудожница Джасмин Гаффонд (Jasmine Guffond). Она создала браузерное расширение под названием Listening Back, которое издает звук каждый раз, когда браузер сохраняет, изменяет или удаляет cookie-файл. Поскольку эти события сопровождают практически любые действия пользователей — получается крайне наглядно (а заодно и довольно красиво).

      Похожая идея пришла в голову и нидерландскому программисту Берту Хуберту (Bert Hubert), известному созданием PowerDNS — программного обеспечения для DNS-серверов. По словам Хуберта, в процессе изучения логов сетевой активности его всегда поражало, насколько часто сайты связываются с Google (и не только). Это вдохновило его на то, чтобы написать небольшую программу, которую он назвал Googerteller.
      В оригинальной версии программа издавала звук каждый раз, когда происходило обращение к Google. Получилось весьма впечатляюще — просто послушайте, как это звучит в видео. Вот, например, запись визита на официальный сайт вакансий правительства Нидерландов, на котором размещают свои вакансии, в частности, голландские спецслужбы.
      Несмотря на то что пользователя никак об этом не предупреждают, практически каждый клик на этом сайте приводит к отправке информации Google.
      View the full article
    • KL FC Bot
      От KL FC Bot
      Наши исследователи обнаружили новую версию зловреда из семейства Ducktail, специализирующегося на краже бизнес-аккаунтов Facebook*. Использующие его злоумышленники атакуют сотрудников, либо занимающих достаточно высокие позиции в компании, либо имеющих отношение к кадровой службе, цифровому маркетингу или маркетингу в социальных сетях. И это логично: конечная цель преступников — кража доступа к корпоративному аккаунту в Facebook*, поэтому интерес для них представляют те, у кого с наибольшей вероятностью такой доступ есть. Рассказываем о том, как происходят атаки, чем они необычны и, конечно же, как от них защититься.
      Приманка и вредоносная нагрузка
      Своим жертвам киберпреступники, стоящие за Ducktail, рассылают архивы с вредоносами. Для усыпления бдительности жертвы в них содержится некоторое количество изображений и видеофайлов, объединенных темой, используемой злоумышленниками в качестве наживки. Например, в ходе последней кампании (активной с марта по начало октября 2023 года) темой была модная одежда: письма приходили якобы от крупнейших игроков индустрии моды, а в архивах содержались фотографии нескольких моделей одежды.
      Впрочем, наиболее важная часть этих архивов — исполняемые файлы, в которых иконка имитирует изображение от документа PDF. При этом злоумышленники используют для таких файлов очень длинные названия — чтобы дополнительно отвлечь внимание жертв от расширения EXE. Имена псевдодокументов должны убедить получателя кликнуть на иконку, чтобы ознакомиться с содержимым. В кампании с моделями одежды это были некие «политики и требования к кандидатам», но в принципе там могут быть и другие стандартные уловки — прайс-листы, коммерческие предложения и так далее.
      Вредоносный архив Ducktail содержит файл, который выглядит как PDF, но в действительности является EXE
      После клика по замаскированному EXE-файлу на устройстве запускается вредоносный скрипт. Первым делом он действительно показывает содержимое некоего PDF-файла (зашитого в код зловреда), чтобы жертва не заподозрила неладное. В то же время он просматривает все ярлыки, содержащиеся на рабочем столе, в меню «Пуск» и на панели быстрого запуска. Зловред ищет ярлыки браузеров, основанных на движке Chromium, то есть Google Chrome, Microsoft Edge, Vivaldi, Brave и других. В них он добавляет команду на установку браузерного расширения, которое также содержится внутри исполняемого файла. Через пять минут после запуска вредоносный скрипт завершает процесс браузера, чтобы пользователь его перезапустил при помощи одного из модифицированных ярлыков.
       
      Посмотреть статью полностью
×
×
  • Создать...