今年 5 月的时候,安全公司 imperva 曝光了 facebook 的一个 bug,其导致第三方网站可以读取毫无戒心的 facebook 用户(及其好友)的私人信息。万幸的是,该漏洞现已被成功修复。此前,安全研究员 ron masas 发现了 facebook 的跨站请求伪造(csrf)漏洞,意味着另一个网站可以通过代码查询的方式,接触到 facebook 的用户数据。
视频截图
为了利用该漏洞,站点可以嵌入 iframe(站点内的站点)来“吸取”用户的数据:
当已登录的 facebook 用户访问带有恶意代码的网站,并在任意位置点击时触发脚本。
其通过向该社交网络发送查询来收集用户数据,例如‘用户是否喜欢跑步?’、或‘是否有朋友在加拿大?’
据悉,masas 是在研究 chrome 漏洞时发现的 facebook bug,攻击者可借此窃取 facebook 用户的私人信息。
可怕的是,即便设置了仅对自己可见,其好友的数据仍可能被这只黑爪给触及。比如通过更加复杂的查询,就可以找到有关某人的宗教信仰、或生活在特定区域的朋友圈等信息。
facebook proof of concept(via)
视频地址:
对于此事,facebook 发言人在致外媒 techcrunch 的回复中写到:
感谢这位安全研究人员对我司 bug 赏金计划的支持,报告中的行为并非特定于 facebook,但我们的用户数据没有丢失。
我们已经向浏览器制造商和相关 web 标准组提出了建议,鼓励它们采取措施防止此类问题在其它 web 应用上发生。
据悉,facebook 向 masas 发放了两份单独的赏金,总额为 8000 美元。
试用申请