Співробітники компанії Facebook вручну переглядають запити на розкриття інформації користувачів, не перевіряючи електронні адреси тих, хто запитує доступ до порталів, призначених виключно для співробітників правоохоронних органів. Іншими словами, будь-хто, у кого є електронна адреса, може отримати доступ до порталів, де правоохоронні органи запитують дані про користувачів Facebook і WhatsApp.
До такого висновку прийшов дослідник безпеки Jacob Riggs, якому вдалося авторизуватися на порталах за допомогою довільної електронної адреси. Все що потрібно було зробити, – ввести свою електронну адресу, відправити її на портали, а потім клікнути на посилання підтвердження. Після цього йому прийшла електронна форма заявки на отримання інформації.
Facebook removed their entire law enforcement email address feature-not-a-bug whitelist because I managed to get in with jr@fbi.gov.jacobriggs.io https://t.co/V6wlOFc67Z
— Jacob Riggs (@JacobRiggs_) September 10, 2020
Варто зазначити, що доступ до вищезазначених порталів не гарантує доступу до будь-якої інформації користувачів Facebook і WhatsApp або самих компаній. Проте, через відсутність фільтрації електронних адрес, на якій знаходяться до них доступ, портали можуть стати мішенню для спамерів, які можуть відправляти підроблені запити.
Дослідник повідомив про своє відкриття Facebook, вважаючи, що проблема пов’язана з недоробкою проекту. Однак, як заявили представники компанії, це – передбачена функція, а не помилка.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Чому варто дотримуватись максимальної приватності Вашого профілю і сторінки у соцмережах
10 кращих застосунків для Android та iOS, які допоможуть Вам у навчанні
Чому слід оновлювати програмне забезпечення? Поради
Як заблокувати небажаний контакт у Facebook? – ІНСТРУКЦІЯ
Як зупинити відстеження небажаними програмами Вашої точної геолокації? ІНСТРУКЦІЯ
Нове сімейство троянських шкідливих програм виявили фахівці з кібербезпеки. Загроза поширюється через шкідливі торенти та використовує численні прийоми, щоб отримати якомога більше криптовалюти від жертв, та при цьому уникнути виявлення.
Також компанії Apple і Google оголосили, що в майбутніх версіях операційних систем iOS і Android буде реалізована система відстеження поширення COVID-19, для використання якої раніше була потрібна установка окремого додатка.
Зверніть увагу, як з’ясували фахівці компанії Palo Alto Networks, найчастіше зловмисники імітують сайти Microsoft, Facebook, Netflix, PayPal, Apple, Royal Bank of Canada, LinkedIn, Google, Apple iCloud, Bank of America, Dropbox, Amazon і Instagram.
До речі, Apple випадково дозволила шкідливій програмі Shlayer працювати на macOS. Шкідливе ПЗ було замасковано під оновлення для Adobe Flash Player і пройшло необхідну верифікацію в Mac App Store.
Співробітники Mozilla провели нове дослідження, яке підтвердило, що історія переглядів браузера дозволяє ідентифікувати користувачів. Вони з’ясували, що більшість користувачів слідують звичними схемами перегляду веб-сторінок, і це дозволяє онлайн-рекламодавцям створювати їх точні профілі.
