Un IT-ist a aflat numărul de mobil al soției lui Ponta folosindu-se de o vulnerabilitate a Facebook

facebook daciana sarbuAi numărul de telefon asociat contului tău de Facebook? Oricine ți-l poate afla, chiar dacă tu nu vrei asta!

Bogdan Alecu de la m-sec.net, susține că Facebook are o imensă vulnerabilitate, ce permite oricui să afle numere de telefon și chiar să ajungă să controleze cu ajutorul telefoanelor conturile de Facebook ale altor persoane.

Alecu a sesizat problema reprezentanților rețelei de socializare, însă a fost asigurat că aceasta (problema) nu există…

Ca să demonstreze că există, românul a creat un program simplu, cu ajutorul căruia, în condiții perfect legale, folosindu-se de vulnerabilitatea Facebook, a obținut mai multe numere de telefon ale unor persoane publice, între care și pe al Dacianei Sârbu, soția premierului României, Victor Ponta.

Dar iată ce spune Bogdan Alecu, în postarea preluată pe blogul Asociației pentru Tehnologie și Internet:

„(…) Pe de o parte, Facebook nu vine cu toate setările de securitate la maxim, iar majoritatea persoanelor nu știu să configureze aceste setări de confidențialitate. Mai mult, uneori setările făcute sunt puțin contradictorii și nu poți verifica în totalitate dacă într-adevăr se aplică aceste setări.

În urmă cu un an îi contactam pe cei de la Facebook și le scriam că oricine poate găsi numele persoanei care deține un cont, dacă acea persoană are asociat un număr de telefon. Răspunsul primit atunci a fost că ei au un algoritm complex prin care își pot da seama dacă persoana căutată s-a conectat vreodată pe computerul de pe care se face căutarea.

Atunci nu am acordat prea mare importanță însă zilele acestea mi-am reamintit de cele întâmplate și am decis să mai testez încă odată acest aspect. De această dată am început să introduc numere aleatorii în speranța că voi găsi măcar o persoană care deține acel număr. (…) După doar 3 încercări aveam deja un rezultat, iar persoana găsită nu era în lista de prieteni. Ce m-a intrigat și mai tare a fost faptul că la detaliile de profil ale acelei persoane nu apărea și numărul de telefon, dar totuși Facebook știa cine este.

Am aflat că în urmă cu 2 ani un cercetător pe securitate informatică reușise să extragă mii de numere de telefon cu ajutorul Facebook folosindu-se de faptul că setarea implicită la adăgarea numărului propriu de telefon era ca oricine să poată căuta după acest număr. Între timp, cei de la Facebook au afirmat că problema a fost rezolvată prin limitarea numărului de căutări și prin oferirea posibiliății de a schimba cine poate face o astfel de căutare.

Unde este problema? Atunci când adăugați numărul de telefon mobil pentru contul de Facebook, o primă setare se referă la cine vede acest număr.

Totuși, într-o altă locație puteți seta cine vă poate găsi după acest număr de telefon, deși ați specificat că doar voi puteți vedea acel număr.

Din păcate, cea mai puțin permisivă setare este ca doar prietenii să vă poată căuta. Așadar, odată adăugat numărul, cel puțin toți prietenii din listă vă pot căuta folosind numărul de telefon pe care doar voi îl puteți vedea.

Doar că această setare este inutilă dacă folosim opțiunea de a recupera un cont folosind telefonul (vezi detalii mai jos).

Totodată am găsit și o posibilă explicație pentru care mi-a fost ușor să găsesc doar după câteva încercări persoanele care stau în spatele acelui număr. Știu că la un moment dat Facebook mă îndemna să îmi adaug telefonul pe profil pentru a fi mai bine protejat de eventualele atacuri și astfel mulți au făcut acest lucru.

Cum cauți un cont de Facebook după numărul de telefon?

Cu toate acestea, cele raportate de mine către Facebook nu făceau referire la căutarea clasică, ci la o altă modalitate.

Ce am folosit nu necesită a avea un cont pe Facebook și oricine poate efectua o astfel de căutare. Lucrurile sunt destul de simple: odată accesată pagina Facebook.com ai opțiunea de a-ți recupera parola în caz că ai uitat-o. La câmpul de căutare al contului ai mai multe posibilități: adresa de e-mail, numărul de telefon, numele de utilizator sau numele tău complet.

După cum probabil ați ghicit, în momentul în care introduci un număr de telefon, rezultatul va fi contul asociat acestui număr.

Pe lângă numele și poza persoanei apare într-o formă mascată și adresa de email asociată contului, după cum puteți vedea în imagine.

Facebook spune că aceste setări nu sunt o problemă de securitate!

Tocmai acest lucru l-am raportat din nou celor de la Facebook, care mi-au răspuns din nou că nu este o problemă:

Și, dacă tot nu este o problemă, am vrut să văd până unde poate merge această funcție. Oare pot găsi persoane publice, persoane cu o oarecare importanță? Am pornit de la ideea că astfel de persoane au de obicei numere preferențiale și ușor de reținut.

Cum poți ghici numărul de telefon asociat unui cont?

Astfel am scris un scurt program ce îmi genera astfel de numere, după care cu un alt program am încărcat aceste numere și le-am trimis către site-ul Facebook pentru a-mi returna numele persoanei și eventual poza sau adresa de email.

Ce conturi găsești cu câteva căutări?

Câteva rezultate interesante descoperite în urma căutarii de număre aleatoare de telefon (nu am cautat dupa numere de telefon găsite pe Internet) sunt inclusiv un fost director de ziar românesc sau un fost europarlamentar din România (este vorba chiar de Daciana Sârbu, soția premierului Victor Ponta).

Căutările au fost făcute atât prin opțiunea Facebook de recuperare a parolei cât și folosind căutarea clasică, fiind autentificat. Cu nici o persoană găsită nu sunt prieten – contul fiind unul de test – iar rezultatele nu au fost folosite în orice alte scopuri, aceste rezultate nefiind publice.

Concluzii:

Prin exemplele aratate (și testate) mai sus, contul vostru ar putea fi în pericol dacă aveți numărul de telefon asociat contului de Facebook, prin următoarele acțiuni:

1. Folosirea unui telefon furat (sau la care ai acces pentru a primi un SMS) pentru a avea acces la contul de Facebook asociat acelui numar de telefon;

2. Ghicirea sau confirmarea numarului de telefon al unei persoane care are cont de facebook (interesant in special pentru a confima persoane publice);

3. Aflarea adresei personale de email in cazul persoanelor publice în anumite cazuri (chiar daca adresa de email nu este oferita complet, de multe ori este usor de dedus);

4. Aflarea contului de Facebook al unei persoane unde ai numarul de telefon – in special daca contul de Facebook nu este identic cu numele persoanei cautate.

Ce puteți face?
Dacă vreți să mai limitați din ceea ce știe Facebook despre voi, dar și pentru a vă proteja mai mult identitatea, ștergeți-vă din profilul de Facebook numărul de telefon asociat contului, pe lângă lucrurile menționate deja pe acest blog. Faptul că Facebook nu oferă cu adevărat setări puternice de confidențialitate și au ignorat de cel puțin două ori raportările făcute este un lucru destul de neplăcut și îngrijorător.

1,340 total views, 1 views today

Comments

comments