Vulnerabilitate Facebook dezvaluita de un expert IT roman: Oricine poate afla cui apartine un numar de telefon

• Nota: Numarul  conturilor atribuite utilizatorilor romani de Facebook a ajuns la 7.2 milioane in 2014, potrivit Facebrands.ro

Unde este problema? - Setarile telefonului asociat de contul de Facebook

Atunci cand adaugati numarul de telefon mobil pentru contul de Facebook, o prima setare se refera la cine vede acest numar.

Setarea de maxima confidentialitate este 'only me'. Aceasta inseamna ca numai tu ar trebui sa vezi acel numar.

 


Totusi, intr-o alta locatie, puteti seta cine va poate gasi dupa acest numar de telefon, desi ati specificat ca doar voi puteti vedea acel numar", scrie expertul IT Bogdan Alecu pe blogul http://privacy.apti.ro/.

Aici setarea de maxima confidentialitate este 'friends/(prieteni)'. 

 

• "Din pacate cea mai putin permisiva setare este ca doar prietenii sa va poata cauta. Asadar, odata adaugat numarul, cel putin toti prietenii din lista va pot cauta folosind numarul de telefon pe care doar voi il puteti vedea. Dupa parerea mea aceasta limitare e cam inutila. E ca si cum doar voi va stiti CNP-ul insa orice alt prieten are o modalitate de a introduce CNP-uri si de a vedea cine e acea persoana", spune acesta.

In baza acestor setari, numai prietenii care iti stiu numarul de mobil te-ar putea cauta pe Facebook pentru a vedea daca esti prezent in reteaua de socializare. 

Vulnerabilitatea pe care expertul roman sustine ca a descoperit-o apare insa in cazul cautarilor facute de cei care nu au un cont sau nu sunt logati in retea.

 

• "Ce am folosit eu nu necesita a avea un cont pe Facebook si oricine poate efectua o astfel de cautare. Lucrurile sunt destul de simple: odata accesata pagina Facebook.com ai optiunea de a-ti recupera parola in caz ca ai uitat-o. La campul de cautare al contului ai mai multe posibilitati: adresa de e-mail, numarul de telefon, numele de utilizator sau numele tau complet.
• Dupa cum probabil ati ghicit, in momentul in care introduci un numar de telefon, rezultatul va fi contul asociat acestui numar.
• Pe langa numele si poza persoanei apare intr-o forma mascata si adresa de email asociata contului, dupa cum puteti vedea in imagine", explica Bogdan Alecu.

 


Bogdan Alecu a precizat pentru HotNews.ro ca a semnalat acest lucru catre Facebook in data de 13 octombrie, iar raspunsul primit in 14 octombrie de la Facebook (vezi poza de mai jos) nu raspunde problemei.

 

• "Din pacate raspunsul celor de la Facebook nu se refera la functia de recuperare a contului, ci la cautarea clasica atunci cand esti autentificat deja. Astfel ei afirma ca pot limita cine ma cauta dupa numarul de telefon din setarile de confidentialitate ale contului personal, mai exact din zona de securitate, optiunea "Cine ma poate cauta folosind numarul de telefon mobil asociat contului". Din pacate cea mai restrictiva optiune este doar ceea de a te cauta doar prietenii si oricum aceasta setare nu se aplica si in cazul procesului de recuperare a parolei", a precizat pentru HotNews.ro Bogdan Alecu.

In lipsa unui raspuns multumitor din partea Facebook, expertul roman a vrut sa vada pana unde merge vulnerabilitatea.


 

• "Si, daca tot nu este o problema, am vrut sa vad pana unde poate merge aceasta functie. Oare pot gasi persoane publice, persoane cu o oarecare importanta? Am pornit de la ideea ca astfel de persoane au de obicei numere preferentiale si usor de retinut. Cum poti ghici numarul de telefon asociat unui cont?
• Astfel am scris un scurt program ce imi genera astfel de numere, dupa care cu un alt program am incarcat aceste numere si le-am trimis catre site-ul Facebook pentru a-mi returna numele persoanei si eventual poza sau adresa de email.
• Cateva rezultate interesante descoperite in urma cautarii de numare aleatoare de telefon (nu am cautat dupa numere de telefon gasite pe Internet) inclusiv un fost director de ziar romanesc sau un europarlamentar din Romania (n.a Daciana Sarbu)", sustine Bogdan Alecu pe blogul privacy.apti.ro.

O problema similara la asocierea unui numar de mobil contului de Facebook a fost semnata in urma cu 2 ani

Problema nu este noua. Bogdan Alecu subliniaza in postarea facuta pe blog ca in urma cu 2 ani un cercetator pe securitate informatica (n.a Suriya Prakash ) reusise sa extraga mii de numere de telefon cu ajutorul Facebook folosindu-se de faptul ca setarea implicita la adagarea numarului propriu de telefon era ca oricine sa poata cauta dupa acest numar. Intre timp, cei de la Facebook au afirmat ca problema a fost rezolvata prin limitarea numarului de cautari si prin oferirea posibiliatii de a schimba cine poate face o astfel de cautare.

Expertul roman avertizeaza insa ca Facebook este departe de a fi rezolvat aceasta problema.

• "Vulnerabilitatea raportata de catre Suriya Prakash facea referire la functia de cautare implicita disponibila atunci cand esti autentificat pe site-ul Facebook. La acea vreme, atunci cand iti asociai numarul de telefon cu contul tau, setarea implicita era ca oricine sa te poata cauta dupa acest numar, folosind functia de cautare oferita de Facebook. 
• Ceea ce am semnalat eu celor de la Facebook se refera la o vulnerabilitate in procedura de recuperare a parolei. Astfel, atunci cand ti-ai uitat parola, Facebook trebuie sa te identifice astfel incat sa iti poti schimba parola. Procedura de identificare se face folosind una din urmatoarele: adresa de email asociata contului, numarul de telefon mobil, contul de utilizator sau numele intreg. In momentul introducerii numarului de telefon mobil in acest pas de recuperare a parolei, Facebook returneaza numele persoanei, imaginea profilului si adresa de email intr-o forma incompleta", a explicat pentru HotNews.ro Bogdan Alecu.

La ce foloseste asocierea numarului de mobil la contul de Facebook

• "Odata activata aceasta functie, atunci cand te autentifici in Facebook vei primi un cod unic prin SMS pe numarul profilului si ai optiunea de a salva acest dispozitiv ca unul sigur, de pe care te autentifici in mod frecvent. Daca spre exemplu altcineva iti stie numele de utilizator si parola, in momentul in care va incerca sa se conecteze cu aceste date la Facebook,evident de pe un alt dispozitiv (laptop, telefon, tableta etc.) va trebui sa introduca si acel cod de singuranta pe care tu il primesti ca SMS. In caz contrar nu se va putea conecta pe contul tau iar tu vei sti imediat ca cineva a incercat sa se conecteze folosind datele tale", a precizat pentru HotNews.ro Bogdan Alecu.

Concluziile expertului roman:

Prin exemplele aratate (si testate) mai sus, contul vostru ar putea fi in pericol daca aveti numarul de telefon asociat contului de Facebook, prin urmatoarele actiuni:

• folosirea unui telefon furat (sau la care ai acces pentru a primi un SMS) pentru a avea acces la contul de Facebook asociat acelui numar de telefon
• ghicirea sau confirmarea numarului de telefon al unei persoane care are cont de facebook (interesant in special pentru a confima persoane publice)
• aflarea adresei personale de email in cazul persoanelor publice in anumite cazuri (chiar daca adresa de email nu este oferita complet, de multe ori este usor de dedus)
• aflarea contului de Facebook al unei persoane unde ai numarul de telefon - in special daca contul de Facebook nu este identic cu numele persoanei cautate

Daca vreti sa mai limitati din ceea ce stie Facebook despre voi, dar si pentru a va proteja mai mult identitatea, stergeti-va din profilul de Facebook numarul de telefon asociat contului, pe langa lucrurile mentionate deja pe acest blog. Faptul ca Facebook nu ofera cu adevarat setari puternice de confidentialitate si au ignorat de cel putin doua ori raportarile facute este un lucru destul de neplacut si ingrijorator.