Car-tech

Se puede abusar de la búsqueda telefónica de Facebook para encontrar números de personas, los investigadores dicen

Me infiltré en un templo religioso del Islam... Esto es lo que vi

Me infiltré en un templo religioso del Islam... Esto es lo que vi

Tabla de contenido:

Anonim

Los atacantes pueden abusar de la función de búsqueda telefónica de Facebook para encontrar números de teléfono válidos y el nombre de sus dueños, según investigadores de seguridad.

El ataque es posible porque Facebook no limita el número de búsquedas de números de teléfono que puede realizar un usuario a través de la versión móvil de su sitio web, dijo en un blog reciente una investigadora de seguridad independiente, Suriya Prakash.

Facebook permite a los usuarios asociar sus números de teléfono con sus cuentas. De hecho, se requiere un número de teléfono móvil para verificar cualquier nueva cuenta de Facebook y desbloquear funciones como la carga de videos o la personalización de la URL de la línea de tiempo.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Al agregar números de teléfono En la sección "Información de contacto" de sus respectivas páginas de perfil de Facebook, los usuarios pueden elegir si desean que esta información sea visible para el público en general, solo para sus amigos o si desean guardarla para ellos, lo cual es una buena opción de privacidad.

Facebook también permite a los usuarios buscar a otras personas en el sitio web buscando los números de teléfono de esas personas en formato internacional.

Los usuarios pueden controlar quién puede localizarlos utilizando este método a través de una opción en "Configuración de privacidad"> "Cómo Conecte ">" ¿Quién puede buscarlo usando la dirección de correo electrónico o el número de teléfono que proporcionó? " que está configurado de forma predeterminada en "Todos".

Esto significa que incluso si configura la visibilidad de su número de teléfono como "Solo yo" en su página de perfil, cualquier persona que conozca su número de teléfono podrá encontrarlo en Facebook a menos que cambia la segunda configuración a "Amigos" o "Amigos de amigos". No hay ninguna opción para evitar que todos localicen su perfil usando su número de teléfono.

Como la mayoría de las personas no cambian el valor predeterminado de esta configuración, es posible que un atacante genere una lista de números de teléfono secuenciales dentro de un rango, por ejemplo, de un operador específico, y use el cuadro de búsqueda de Facebook para descubrir a quién pertenecen, dijo Prakash. Conectar un número de teléfono aleatorio con un nombre es el sueño de todo anunciante y este tipo de listas obtendría un gran precio en el mercado negro, dijo.

Prakash afirma que compartió este escenario de ataque con el equipo de seguridad de Facebook en agosto y después de un respuesta inicial el 31 de agosto. Todos sus correos electrónicos no recibieron respuesta hasta el 2 de octubre, cuando un representante de Facebook respondió y dijo que la velocidad a la que los usuarios pueden ser encontrados en el sitio web, incluidos los números de teléfono, está restringida.

Sin embargo, la versión móvil del sitio web de Facebook-m.facebook.com-no parece tener ninguna limitación en la tasa de búsqueda, dijo Prakash.

El investigador generó números con los prefijos de los países de EE. UU. Y la India y creó una prueba simple de el script de macro concept (PoC) que los buscó en Facebook y guardó los que se encontraron asociados con los perfiles de Facebook, junto con los nombres de sus propietarios.

Prakash dijo que decidió revelar públicamente la vulnerabilidad en unos días en popa Está enviando su script PoC a Facebook, porque la compañía no respondió. Prakash incluso publicó 850 números de teléfono parcialmente ofuscados y nombres asociados que, afirmó, representaban una porción muy pequeña de los datos que obtuvo durante sus exámenes.

"Ha pasado alrededor de una semana desde que comencé a ejecutarlo y todavía no lo he hecho. ha sido bloqueado ", dijo Prakash el lunes por correo electrónico. "Incluso les informé [a Facebook] hoy por la mañana (hora india) todavía no hay respuesta".

Facebook no devolvió una solicitud de comentario enviada el lunes.

Otro investigador prueba

Tras la revelación pública de Prakash, Tyler Borland, un investigador de seguridad con el proveedor de seguridad de red Alert Logic, creó un script aún más eficiente que puede ejecutar hasta diez procesos de búsqueda telefónica de Facebook al mismo tiempo. La secuencia de comandos de Borland se llama "rastreador telefónico de Facebook" y puede buscar números de teléfono de un rango especificado por el usuario.

"Con la configuración predeterminada, pude verificar los datos de un número de teléfono por segundo", dijo Borland por correo electrónico el lunes. "Ellos [Facebook] no emplean ningún tipo de limitación de velocidad o aún no he llegado a ese límite. Una vez más, envié cientos de solicitudes en cortos intervalos de tiempo y no pasó nada".

Con el guión de Borland ejecutándose en un gran botnet-más de 100.000 computadoras-un atacante podría encontrar los números de teléfono y los nombres de la mayoría de los usuarios de Facebook con números de teléfono móvil asociados a sus cuentas en cuestión de días, dijo Prakash.

Es inquietante que esta vulnerabilidad aún esté abierta y haya herramientas públicas disponibles para explotarlo, dijo Bogdan Botezatu, analista senior de e-threat en el proveedor de antivirus Bitdefender, por correo electrónico el lunes. Muy pocos usuarios alteran su configuración de privacidad predeterminada, dijo.

Este es otro ejemplo de cómo una gran característica puede terminar siendo utilizada si los mecanismos de seguridad están mal implementados o si faltan por completo, dijo Botezatu. "A diferencia de los mensajes de correo electrónico o comentarios de blog, acercarse a un usuario por teléfono es mucho más efectivo en un ataque de spear vishing [phishing de voz], sobre todo porque el usuario de la computadora no sabe que su número de teléfono puede haber terminado en el manos equivocadas. Junto con la información de los usuarios en su perfil, un atacante puede convencer al usuario para que le entregue información personal en poco tiempo. "

Los ataques de phishing de voz y otro tipo de estafas telefónicas son comunes y su tasa de éxito ya es alta, Botezatu dicho.

"Ahora imagine que estos ladrones se dirigen a usted por su nombre completo y respaldan sus declaraciones con información sobre usted tomada directamente de su perfil [de Facebook]". Dijo Botezatu.