Bila Anda mendaftar di Facebook, Anda harus memasukkan alamat email dan alamat email menjadi alamat email utama Anda di Facebook.
Dalam pengungkapan terbaru oleh seorang peneliti keamanan, Stephen Sclafani - Situs Jejaring Sosial Facebook adalah rentan terhadap pengungkapan alamat email utama dari setiap pengguna Facebook untuk hacker dan spammer.
Cacat tersebut berada dalam mekanisme undangan Facebook, menggunakan yang satu dapat mengundang semua nya email kontak ke Facebook untuk membuat akun baru.
Seperti ditunjukkan dalam screenshot berikut, undangan yang diterima pada email, di mana satu harus mengklik URL Pendaftaran:
Setelah mengklik URL itu, mengundang pengguna akan diarahkan ke sebuah halaman pendaftaran diisi dengan alamat email dan nama orang yang menggunakan link untuk mendaftar untuk account yang ditampilkan:
Ada dua parameter di URL ini, yaitu "re" dan "mid". Menurut Stephen mengubah beberapa bagian dari parameter "pertengahan" dapat mengekspos alamat email dari user lain.
http://www.facebook.com/r.php?re=245bf2da75118af20d917bdd34babddb&mid=59b63aG5af3107aba69G0G46
59b63a G 5af3107aba69 G 0 G 46
Dia menjelaskan bahwa, di atas tali, "G" bertindak sebagai pembatas / separator, dimana nilai 2 setelah pertama "G" yaitu 5af3107aba69 adalah Profile ID pengguna. Mengganti ID pengguna dapat memberikan mengekspos email ID dari setiap pengguna dalam Mendaftar PT. Penyerang bisa mendapatkan ID ini numerik profil facebook dari Grafik API.
Menggunakan cacat ini penyerang dapat mengekstrak alamat email dari seluruh profil facebook untuk spamming atau tujuan hacking. Penyerang hanya perlu menulis script otomatis / kode untuk meraih semua alamat email dari miliaran pengguna facebook.
Menggunakan langkah-langkah berikut hacker dapat menulis kode otomatis untuk mengambil semua email:
1.) Ambil link profil semua pengguna facebook dari Facebook People Directory yaitu http://www.facebook.com/directory/people/
2.) Kumpulkan numerik ID Facebook untuk setiap Profil dari facebook Graph API yaitu http://graph.facebook.com/mohitkumar.thehackernews, di mana user ID diekstraksi adalah 1251386282.
3.) Pada langkah selanjutnya, menggunakan metode ikal atau lainnya membuka URL dimodifikasi untuk setiap profil yaitu http://www.facebook.com/r.php?re=245bf2da75118af20d917bdd34babddb&mid=59b63aG1251386282G0G46
4.) Filter alamat email terkena di Source code yang diperoleh dari langkah di atas untuk setiap profil dan toko dalam database.
Dengan cara ini, atas kerentanan mampu menempatkan setiap pengguna facebook at Risk, namun pengungkapan yang bertanggung jawab Stephen untuk tim Keamanan Facebook menyelamatkan kita. Dia dihargai dengan US $ 3.500 untuk membantu mereka untuk menambal kelemahan ini.
Sources: The hacker News
0komentar:
Post a Comment