В Facebook обнаружена серьезная уязвимость

Британский разработчик смог получить доступ к закрытым данным аккаунтов Facebook через API (интерфейс прикладного программирования), предоставляемый социальной сетью. Как оказалось, для «ознакомления» с личной информацией пользователя достаточно знать лишь номер его мобильного телефона.

Серьезную уязвимость в системе популярной социальной сети обнаружил программист Реза Мояндин. Используя ее, злоумышленник может получить данные о любом пользователе, просмотреть все изображения в профиле и даже отследить его местоположение.

В Facebook обнаружена серьезная уязвимость

В пользовательском интерфейсе функция «Кто может искать меня» по умолчанию установлена на значение «Все». То есть найти профиль конкретного пользователя может любой, у кого есть номер мобильного телефона этого человека, прописанный в его аккаунте. Даже если этот номер не опубликован на странице пользователя.

Как рассказал Реза Мояндин, с помощью простого алгоритма ему удалось сгенерировать несколько десятков тысяч номеров телефонов и «отсортировать» их через интерфейс прикладного программирования (API), предоставляемый ведущей мировой социальной сетью для разработчиков и находящийся в свободном доступе.

После этой процедуры система Facebook без проблем выдает ID пользователя, номер его мобильного телефона (прописанный в аккаунте), модель мобильного устройства, которое использует владелец профиля. А также его фотографии, и информацию о том какая версия Messenger у него инсталлирована. Также разработчик подчеркнул, что если приложить немного усилий, то он смог бы получить еще больше информации о каждом из пользователей ведущей мировой социальной сети.

Реза Мояндин считает, что социальная сеть Facebook должна повысить уровень собственной безопасности и устойчивости с помощью дополнительных алгоритмов шифрования. В ответ на заявление программиста официальные представители компании подчеркнули, что в рамках ведущей мировой социальной сети действуют строгие правила того, как разработчики могут использовать предоставляемый компанией API для создания своих продуктов.

Кроме этого представители Facebook отметили, что только от самих пользователей зависит, какая информация из их аккаунтов может быть доступна для разработчиков. В разделе «Privacy Basics» каждый владелец профиля в Facebook может получить исчерпывающую информацию по этому вопросу.

Но на самом деле ведущая мировая социальная сеть не дает возможности полностью скрыть аккаунт при поиске по номеру телефона. Можно лишь ограничить его видимость для круга друзей.