Pencarian telepon Facebook dapat disalahgunakan untuk menemukan nomor orang, peneliti mengatakan

Penyerang dapat menyalahgunakan fitur pencarian telepon Facebook untuk menemukan nomor telepon yang valid dan nama pemiliknya, menurut peneliti keamanan.

Serangan itu dimungkinkan karena Facebook tidak membatasi jumlah pencarian nomor telepon yang dapat dilakukan oleh pengguna melalui versi mobile dari situs webnya, Suriya Prakash, seorang peneliti keamanan independen mengatakan dalam posting blog baru-baru ini.

Facebook memungkinkan pengguna untuk mengaitkan nomor telepon mereka dengan akun mereka. Jika kenyataannya, nomor ponsel diperlukan untuk memverifikasi akun Facebook baru dan membuka kunci fitur seperti pengunggahan video atau personalisasi URL garis waktu.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Saat menambahkan nomor telepon di bagian "Info kontak" dari halaman profil Facebook masing-masing, pengguna dapat memilih apakah mereka ingin membuat informasi ini dapat dilihat oleh masyarakat umum, hanya kepada teman-teman mereka atau jika mereka ingin menyimpannya sendiri, yang merupakan pilihan privasi yang baik.

Facebook juga memungkinkan pengguna menemukan orang lain di situs web dengan mencari nomor telepon orang-orang tersebut dalam format internasional.

Pengguna dapat mengontrol siapa yang dapat menemukan mereka menggunakan metode ini melalui opsi di bawah "Pengaturan Privasi"> "Bagaimana Anda Hubungkan ">" Siapa yang dapat mencari Anda menggunakan alamat email atau nomor telepon yang Anda berikan? " yang ditetapkan secara default untuk "Semua Orang."

Ini berarti bahwa bahkan jika Anda mengatur visibilitas nomor telepon Anda ke "Hanya Saya" di halaman profil Anda, siapa pun yang mengetahui nomor telepon Anda akan tetap dapat menemukan Anda di Facebook kecuali Anda mengubah pengaturan kedua menjadi "Teman" atau "Teman teman." Tidak ada pilihan untuk mencegah semua orang menemukan profil Anda menggunakan nomor telepon Anda.

Karena kebanyakan orang tidak mengubah nilai default dari pengaturan ini, adalah mungkin bagi penyerang untuk membuat daftar nomor telepon yang berurutan dalam pilihan jangkauan-misalnya dari operator tertentu - dan gunakan kotak pencarian Facebook untuk menemukan siapa mereka, Prakash kata. Menghubungkan nomor telepon acak ke nama adalah impian setiap pengiklan dan daftar semacam ini akan mengambil harga besar di pasar gelap, katanya.

Prakash mengklaim bahwa ia berbagi skenario serangan ini dengan tim keamanan Facebook pada bulan Agustus dan setelah tanggapan awal pada 31 Agustus semua emailnya tidak terjawab hingga 2 Oktober, ketika seorang perwakilan Facebook menanggapi dan mengatakan bahwa tingkat di mana pengguna dapat ditemukan di situs web melalui cara apa pun, termasuk nomor telepon, dibatasi.

Namun, versi mobile situs web Facebook-m.facebook.com-tampaknya tidak memiliki batasan tingkat pencarian, kata Prakash.

Peneliti menghasilkan angka dengan awalan negara AS dan India dan menciptakan bukti sederhana tentang- konsep (PoC) makro script yang mencari mereka di Facebook dan menyelamatkan orang-orang yang ditemukan terkait dengan profil Facebook, bersama dengan nama-nama pemiliknya.

Prakash mengatakan bahwa ia memutuskan untuk secara terbuka mengungkapkan kerentanan beberapa hari buritan er mengirim script PoC-nya ke Facebook, karena perusahaan tidak merespons. Prakash bahkan mempublikasikan 850 nomor telepon yang sebagian tidak jelas dan nama-nama terkait yang, menurutnya, mewakili bagian yang sangat kecil dari data yang diperolehnya selama tes.

"Sudah sekitar seminggu sejak saya mulai menjalankannya dan saya masih belum telah diblokir, "Prakash mengatakan Senin melalui email. "Aku bahkan memberitahu mereka [Facebook] pagi hari ini (waktu India) masih tidak ada jawaban."

Facebook tidak mengembalikan permintaan untuk komentar yang dikirim Senin.

Tes peneliti lain

Mengikuti pengungkapan publik Prakash, Tyler Borland, seorang peneliti keamanan dengan vendor keamanan jaringan Alert Logic, menciptakan skrip yang lebih efisien yang dapat menjalankan hingga sepuluh proses pencarian telepon Facebook pada saat yang bersamaan. Skrip Borland disebut "perayap telepon Facebook" dan dapat mencari nomor telepon dari rentang yang ditentukan pengguna.

"Dengan pengaturan default saya dapat memverifikasi data untuk 1 nomor telepon setiap detik," kata Borland melalui email pada hari Senin. "Mereka [Facebook] tidak menggunakan tingkat pembatasan apa pun atau saya belum mencapai batas itu. Sekali lagi, saya mengirim ratusan permintaan dalam interval waktu yang singkat dan tidak ada yang terjadi."

Dengan skrip Borland berjalan pada besar botnet-lebih dari 100.000 komputer-penyerang dapat menemukan nomor telepon dan nama-nama sebagian besar pengguna Facebook dengan nomor ponsel yang terkait dengan akun mereka dalam hitungan hari, Prakash mengatakan.

Sangat mengganggu bahwa kerentanan ini masih terbuka dan ada alat publik yang tersedia untuk mengeksploitasinya, kata Bogdan Botezatu, seorang analis e-ancaman senior di vendor antivirus Bitdefender, melalui email pada hari Senin. Sangat sedikit pengguna mengubah pengaturan privasi default mereka, katanya.

Ini adalah contoh lain tentang bagaimana fitur hebat dapat disalahgunakan jika mekanisme keselamatan tidak dilaksanakan dengan baik atau benar-benar hilang, kata Botezatu. "Tidak seperti pesan e-mail atau komentar blog, mendekati pengguna melalui telepon jauh lebih efektif dalam serangan tombak [suara phishing], sebagian besar karena pengguna komputer tidak menyadari fakta bahwa nomor teleponnya mungkin berakhir di tangan yang salah. Ditambah dengan informasi pengguna di profil mereka, penyerang dapat meyakinkan pengguna untuk menyerahkan informasi pribadi dalam waktu singkat. "

Serangan phishing suara dan penipuan telepon jenis lain adalah hal biasa dan tingkat keberhasilan mereka sudah tinggi, Botezatu kata.

"Sekarang bayangkan bahwa penjahat ini memanggil Anda dengan nama lengkap Anda dan mencadangkan pernyataan mereka dengan informasi tentang Anda yang diambil langsung dari profil [Facebook] Anda." Botezatu berkata.