La recherche téléphonique de Facebook peut être abusée pour trouver les chiffres, les chercheurs disent

L'attaque est possible parce que Facebook ne limite pas le nombre de recherches de numéros de téléphone qui peuvent être effectuées par un utilisateur via la version mobile de son site Web, Suriya Prakash, un chercheur en sécurité indépendant a déclaré dans un blog récent.

Facebook permet aux utilisateurs d'associer leurs numéros de téléphone avec leurs comptes. En fait, un numéro de téléphone mobile est nécessaire pour vérifier tout nouveau compte Facebook et déverrouiller des fonctionnalités telles que le téléchargement de vidéos ou la personnalisation d'URL de calendrier

[Plus d'informations: Comment supprimer des logiciels malveillants sur votre PC Windows]

la section "Contact" de leurs pages de profil Facebook respectives, les utilisateurs peuvent choisir s'ils veulent rendre cette information visible au grand public, seulement à leurs amis ou s'ils veulent la garder pour eux, ce qui est une bonne option de confidentialité.

Facebook permet également aux utilisateurs de trouver d'autres personnes sur le site en recherchant les numéros de téléphone de ces personnes au format international.

Les utilisateurs peuvent contrôler qui peut les localiser grâce à cette option via "Paramètres de confidentialité"> "Comment Connectez-vous ">" Qui peut vous rechercher en utilisant l'adresse e-mail ou le numéro de téléphone que vous avez fourni? " Ce paramètre est défini par défaut sur "Tout le monde".

Cela signifie que même si vous définissez la visibilité de votre numéro de téléphone sur "Moi uniquement" sur votre page de profil, toute personne connaissant votre numéro de téléphone pourra vous trouver sur Facebook sauf vous changez le deuxième paramètre pour "amis" ou "amis d'amis".

Comme la plupart des gens ne modifient pas la valeur par défaut de ce paramètre, il est possible pour un attaquant de générer une liste de numéros de téléphone séquentiels dans un pays choisi. gamme - par exemple d'un opérateur spécifique - et utiliser la boîte de recherche de Facebook pour découvrir à qui ils appartiennent, a déclaré Prakash. Il dit que connecter un numéro de téléphone aléatoire à un nom est le rêve de tous les annonceurs et que ce genre de liste coûterait cher au marché noir, dit-il.

Prakash affirme avoir partagé ce scénario avec l'équipe de sécurité de Facebook en août. réponse initiale le 31 août tous ses courriels sont restés sans réponse jusqu'au 2 octobre, quand un représentant de Facebook a répondu et a dit que le taux auquel les utilisateurs peuvent être trouvés sur le site Web par tous les moyens, y compris les numéros de téléphone, est restreint. Cependant, la version mobile du site Web de Facebook, m.facebook.com, ne semble pas avoir de limitation du taux de recherche, a dit Prakash.

Le chercheur a généré des chiffres avec des préfixes de pays américains et indiens et a créé une preuve simple de script de macro de concept (PoC) qui les a recherchés sur Facebook et enregistré ceux qui ont été trouvés à être associés à des profils Facebook, avec les noms de leurs propriétaires.

Prakash a déclaré qu'il a décidé de divulguer publiquement la vulnérabilité quelques jours à l'arrière er envoyant son script PoC à Facebook, car la société n'a pas répondu. Prakash a même publié 850 numéros de téléphone partiellement obscurcis et noms associés qui, selon lui, représentaient une très petite partie des données qu'il avait obtenues lors de ses tests.

"Cela fait environ une semaine que je l'ai commencé et je n'ai toujours pas été bloqués ", a déclaré Prakash lundi par e-mail. "Je leur ai même informé [Facebook] aujourd'hui matin (heure indienne) toujours pas de réponse."

Facebook n'a pas retourné une demande de commentaire envoyée lundi

Un autre chercheur teste

Suite à la divulgation publique de Prakash, Tyler Borland, Un chercheur en sécurité avec le fournisseur de sécurité réseau Alert Logic, a créé un script encore plus efficace qui peut exécuter jusqu'à dix processus de recherche de téléphone Facebook en même temps. Le script de Borland est appelé "Facebook phone crawler" et peut rechercher des numéros de téléphone à partir d'une plage spécifiée par l'utilisateur.

"Avec les paramètres par défaut, j'ai été en mesure de vérifier les données pour 1 numéro de téléphone chaque seconde", a déclaré Borland par courriel lundi. "Ils [Facebook] n'emploient aucun type de limitation de débit ou je n'ai pas encore atteint cette limite.J'ai envoyé des centaines de demandes dans de courts intervalles de temps et rien ne s'est passé."

Avec le script de Borland sur un grand botnet-plus de 100 000 ordinateurs-un attaquant pourrait trouver les numéros de téléphone et les noms de la plupart des utilisateurs de Facebook avec des numéros de téléphone mobile associés à leurs comptes en quelques jours, . Bogdan Botezatu, un analyste senior des menaces électroniques chez le fournisseur d'antivirus Bitdefender, par e-mail lundi.

Voici un autre exemple de la manière dont une grande fonctionnalité peut être utilisée abusivement si les mécanismes de sécurité sont mal implémentés ou complètement manquants, a déclaré Botezatu. "Contrairement aux messages e-mail ou aux commentaires de blog, aborder un utilisateur par téléphone est beaucoup plus efficace dans une attaque de phishing, principalement parce que l'utilisateur de l'ordinateur ne sait pas que son numéro de téléphone a fini dans la En combinant les informations des utilisateurs dans leur profil, un attaquant peut convaincre l'utilisateur de lui transmettre des informations personnelles en un rien de temps. "

Les attaques par phishing et autres escroqueries téléphoniques sont courantes et leur taux de réussite est déjà élevé. dit.

"Imaginez maintenant que ces escrocs vous adressent par votre nom complet et sauvegardent leurs déclarations avec des informations à votre sujet tirées directement de votre profil [Facebook]." Botezatu a dit.