يمكن إساءة استخدام بحث الهاتف في الفيسبوك للعثور على أرقام الأشخاص ، ويقول الباحثون

يمكن للمهاجمين إساءة استخدام ميزة البحث عبر الهاتف في الفيسبوك للعثور على أرقام هواتف صالحة واسم أصحابها ، وفقا لباحثين أمنيين.

الهجوم ممكن بسبب الفيسبوك لا تحد من عدد عمليات البحث عن رقم الهاتف التي يمكن أن يقوم بها مستخدم ما عبر النسخة المحمولة من موقعه على الإنترنت ، كما قال سورييا براكاش ، وهو باحث مستقل في مجال الأمن في آخر مشاركة مدونة.

Facebook يسمح للمستخدمين بربط أرقام هواتفهم. مع حساباتهم. في الواقع ، يلزم وجود رقم هاتف محمول للتحقق من أي حساب جديد على Facebook وفتح ميزات مثل تحميل الفيديو أو تخصيص عنوان URL للمخطط الزمني.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

عند إضافة أرقام الهواتف في قسم "معلومات الاتصال" الخاص بصفحات الملف الشخصي على موقع Facebook ، يمكن للمستخدمين اختيار ما إذا كانوا يريدون جعل هذه المعلومات مرئية لعامة الناس ، فقط لأصدقائهم أو إذا كانوا يريدون الاحتفاظ بها لأنفسهم ، وهو خيار خصوصية جيد.

يتيح Facebook للمستخدمين أيضًا العثور على أشخاص آخرين على موقع الويب عن طريق البحث عن أرقام هواتف هؤلاء الأشخاص بالتنسيق الدولي.

يمكن للمستخدمين التحكم في تحديد من يمكنهم تحديد موقعهم باستخدام هذه الطريقة من خلال أحد الخيارات ضمن "إعدادات الخصوصية"> "كيف يمكنك Connect ">" من يمكنه البحث عنك باستخدام عنوان البريد الإلكتروني أو رقم الهاتف الذي قدمته؟ " والتي يتم تعيينها افتراضيًا على "الجميع".

وهذا يعني أنه حتى إذا قمت بتعيين رؤية رقم هاتفك إلى "أنا فقط" على صفحة ملفك الشخصي ، فسيظل أي شخص يعرف رقم هاتفك قادرًا على العثور عليك على Facebook ما لم يمكنك تغيير الإعداد الثاني إلى "الأصدقاء" أو "أصدقاء الأصدقاء". لا يوجد خيار لمنع الجميع من تحديد ملف التعريف الخاص بك باستخدام رقم هاتفك.

نظرًا لأن معظم الأشخاص لا يغيرون القيمة الافتراضية لهذا الإعداد ، فمن الممكن أن يقوم المهاجم بإنشاء قائمة بأرقام الهواتف المتسلسلة داخل على سبيل المثال ، من مشغل معين - واستخدم مربع بحث Facebook لاكتشاف من ينتمون إليه ، قال براكاش. وقال إن ربط رقم هاتف عشوائي بأحد الأسماء هو حلم كل معلن وأن هذا النوع من القوائم سيجلب سعرًا كبيرًا في السوق السوداء.

يدعي براكاش أنه شارك هذا السيناريو الهجومي مع فريق أمان Facebook في أغسطس وبعد في 31 أغسطس / آب ، لم يتم الرد على جميع رسائل البريد الإلكتروني حتى 2 أكتوبر / تشرين الأول ، عندما رد ممثل فيسبوك وقال إن المعدل الذي يمكن العثور عليه على الموقع عبر أي وسيلة ، بما في ذلك أرقام الهواتف ، مقيد.

ومع ذلك ، لا يبدو أن النسخة المحمولة من موقع Facebook على الإنترنت m.facebook.com تحتوي على أي قيود على معدل البحث.

وولد الباحث أرقامًا مع البادئات الأمريكية والهندية وأوجد دليلاً بسيطًا على المفهوم المادي (PoC) الذي بحث عنها على Facebook وحفظ الملفات التي وجد أنها مرتبطة بملفات تعريف Facebook ، بالإضافة إلى أسماء أصحابها.

قال براكاش أنه قرر الكشف علانية عن الثغرة لبضعة أيام الخلف إيه أرسل نصه PoC إلى Facebook ، لأن الشركة لم تستجب. نشر براكاش حتى 850 رقم هاتف غامض بشكل جزئي وأسماء مرتبطة بها ، والتي ادعى أنها مثلت جزءًا صغيرًا جدًا من البيانات التي حصل عليها أثناء اختباراته.

"لقد مر حوالي أسبوع منذ بدأت تشغيله وما زلت لم تم حظره "، وقال براكاش الاثنين عبر البريد الإلكتروني. "حتى أنني أبلغتهم [الفيس بوك] صباح اليوم (الوقت الهندي) لا يوجد رد."

Facebook لم يرد طلبًا للتعليق أرسل يوم الاثنين.

باحث آخر يختبر

بعد الكشف العلني لشركة براكاش ، تايلر بورلاند ، قام باحث أمن مع بائع أمان الشبكة Alert Logic بإنشاء برنامج نصي أكثر كفاءة يمكنه تشغيل ما يصل إلى عشر عمليات بحث للهاتف على Facebook في نفس الوقت. ويطلق على برنامج بورلاند اسم "زاحف الهاتف في فيسبوك" ويمكنه البحث عن أرقام الهواتف من نطاق محدد من قبل المستخدم

وقال بورلاند عبر البريد الإلكتروني يوم الاثنين "مع الإعدادات الافتراضية تمكنت من التحقق من البيانات لرقم هاتف واحد في كل ثانية." "إنهم [فيسبوك] لا يوظفون أي نوع من تقييد السعر أو لم أتجاوز هذا الحد بعد. مرة أخرى ، أرسلت مئات الطلبات في فترات زمنية قصيرة ولم يحدث شيء".

مع تشغيل برنامج بورلاند النصي على مساحة كبيرة ووجد براكاش أن أكثر من 100 ألف حاسوب يمكنه العثور على أرقام الهواتف وأسماء معظم مستخدمي فيسبوك الذين لديهم أرقام هواتف محمولة مرتبطة بحساباتهم في غضون أيام.

من المزعج أن هذه الثغرة ما زالت مفتوحة وأن هناك وقال بوجدان بوتيزاتو ، وهو محلل كبير في مجال التهديد الإلكتروني في شركة Bitdefender لمكافحة الفيروسات ، عبر البريد الإلكتروني يوم الإثنين ، إن الأدوات العامة المتاحة لاستغلالها. وقال إن عدداً قليلاً جداً من المستخدمين يغيرون إعدادات الخصوصية الافتراضية الخاصة بهم.

وهذا مثال آخر على الكيفية التي يمكن بها إساءة استخدام ميزة رائعة إذا كانت آليات السلامة ضعيفة التنفيذ أو مفقودة تماماً. "بخلاف رسائل البريد الإلكتروني أو تعليقات المدونة ، فإن الاقتراب من مستخدم عبر الهاتف يكون أكثر فاعلية في هجوم التصيد الصاخب ، وذلك لأن مستخدم الكمبيوتر ليس على علم بحقيقة أن رقم هاتفه قد انتهى به المطاف في إلى جانب معلومات المستخدمين في ملفهم الشخصي ، يمكن للمهاجم إقناع المستخدم بتسليم المعلومات الشخصية في أي وقت من الأوقات. "

هجمات التصيد الصوتي وغيرها من أنواع خدع الهاتف شائعة ومعدل نجاحها مرتفع بالفعل ، Botezatu قال

"الآن تخيل أن هؤلاء المحتالون يخاطبونك باسمك الكامل وتحتفظ ببياناتهم احتياطيًا بمعلومات حولك تم أخذها مباشرةً من ملفك الشخصي في [Facebook]." قال Botezatu.