Úgy tűnik, egy ideig bárki láthatta, hogy kivel beszélgettünk a Facebook Messenger webes üzenetküldőjével. A sérülékenység kihasználáshoz a felhasználót először egy kártékony weboldalra kellett csalni egy megtévesztő üzenet vagy ígéret segítségével.
Ron Masas, az Imperva biztonsági szakembere szerint a különböző weboldalak eddig le tudták kérdezni, hogy pontosan kivel is csevegtünk a Facebook Messenger üzenetküldőjének segítségével.
A probléma a Messenger üzenetküldő webes verziójánál jelentkezett. Az itt részletezett sérülékenységet a támadók elméletben úgy használhatták ki, hogy egy hívogató linkkel egy kártékony weboldalra csalták a felhasználót. Ha a felhasználó bárhová kattintott a weboldalon (például a videó lejátszásának gombjára), akkor a háttérben nyílt új böngészőablak lekérdezte, hogy kivel csevegett a a Messengeren.
A hiba, amely csak a webes Messengert érintette, nem tárta fel az üzenetek tartalmát, csupán azok nevét, akikkel beszélgettünk. Egy rivális vállalat (vagy féltékeny informatikus) számára azonban ez is hasznos információ.
A sérülékenység működésének bemutatása. Forrás: Imperva
A sérülékenységet azóta a Facebook befoltozta.
Ron Masas egyébként nem először fedezett fel hibát a népszerű közösségi oldalnál, korábban egy olyan sérülékenységre bukkant, melynek felhasználásával engedély nélküli weboldalak is láthatták a Facebook felhasználók tartózkodási helyeinek archívumát, valamint a kedvelt oldalak listáját.
A Facebook első számú vezetője, Mark Zuckerberg egyébként nemrég jelentette be, hogy az összes Facebook családhoz tartozó terméket (Facebook, WhatsApp és Instagram) az adatbiztonság, titkosítás és a személyes adatok védelme köré építik újra. A Cambridge Analytica botrányt valahogy felejtetni kell az emberekkel.
