Уразливість у додатку для управління екаунтами Facebook Business Suite дозволяла розкривати адреси електронної пошти і дати народження користувачів соціальної мережі Instagram.
Небезпеку виявив Сугат Похарель, фахівець з Непалу, ще у жовтні ц.р. Експерт одразу ж повідомив про свою знахідку представникам Facebook. Останні усунувши уразливість за лічені години, пише Security Week.
Похарель натрапив на уразливість в процесі аналізу інтерфейсу Facebook Business Suite, який інтернет-гігант представив ще у вересні. Розробники створили Facebook Business Suite, щоб спростити компаніям управління Facebook, Messenger, Instagram і WhatsApp з єдиної локації.
Після того як Похарель прив’язав Instagram-екаунт до Business Suite, він зазначив, що може бачити адресу електронної пошти інших користувачів соцмережі в момент листування. За нормальних обставин ця інформація повинна бути закрита.
Як зазначив дослідник в своєму блозі, електронна пошта відображалася у правій стороні вікна чату. Іншими словами, не було потрібно жодних додаткових зусиль, щоб переглянути адресу скриньки.
Важливо те, що Похарель міг бачити адреси електронної пошти навіть тих користувачів, які закрили свої екаунти і не приймали приватні повідомлення від сторонніх людей.
При цьому фахівець пізніше з’ясував, що таким же чином видно і дату народження. Розробники з компанії Facebook швидко усунули описаний Похарелем баг і виплатили досліднику $13 125.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як безпечно робити покупки в Інтернеті на новорічні свята? Поради
Як безпечно організовувати і брати участь в онлайн-зустрічах?
Як дізнатися, коли було встановлене основне оновлення Windows 10? ІНСТРУКЦІЯ
Зверніть увагу, генеральні прокурори десяти американських штатів подали антимонопольний позов проти Google. Вони звинувачують компанію в змові з Facebook і порушення законодавства про рекламу в Інтернеті.
Окрім цього, три мільйони користувачів стали жертвами шкідливих розширень для браузерів Chrome і Edge. Ці розширення викрадали персональні дані і перенаправляли користувачів на фішингові сайти.
До речі, американська компанія SolarWinds розпочала розслідування кіберінціденту, під час якого зловмисникам вдалося використати продукти SolarWinds в атаках на державні і приватні організації США. Кіберзлочинці змогли скомпрометувати систему збирання софту, яку використовують для моніторингової платформи Orion
Нагадаємо, що iOS 14.3 і iPadOS 14.3 отримали виправлення 11 проблем безпеки, серед яких є настільки серйозні, що зловмисник може виконати код на пристроях iPhone і iPad. Для експлуатації двох найсерйозніших багів хакеру досить використовувати спеціально підготовлений файл шрифту, за допомогою якого можна запустити шкідливий код в системі жертви.
