В Facebook обнаружили уязвимость, которая может привести к ещё одной масштабной утечке

В Facebook обнаружили новую уязвимость, позволяющую с помощью специального инструмента Facebook Email Search v1.0 находить учётные записи соцсети и связанные с ними адреса электронной почты, даже когда у пользователей они скрыты в настройках конфиденциальности. Об этом сообщает Ars Technica.

В распоряжении издания оказался видеофайл от энтузиаста, который продемонстрировал работу Facebook Email Search v1.0. Ars Technica получило ролик при условии, что видео не будет опубликовано.

Исследователь, имя которого издание также согласилось не называть, «скормил» инструменту список из 65 000 адресов электронной почты и уже через 3 минуты получил свыше 6000 пар Facebook-аккаунтов и е-mail. Он утверждает, что Facebook Email Search v1.0 может обрабатывать до 5 млн адресов электронной почты в день. Об обнаруженной уязвимости соцсети энтузиаст сообщил в Facebook, однако, по его словам, в компании не посчитали её «достаточно важной», чтобы исправить.

Ars Technica связалось с представителями Facebook за комментарием:

Похоже, мы ошибочно закрыли этот отчёт, поступивший в рамках программы по поиску ошибок вместо того, чтобы сначала перенаправить его ответственным сотрудникам. Мы ценим, что исследователь сообщил нам эту информацию и принимаем действия для решения проблемы, параллельно исследуя её для лучшего понимания картины произошедшего.

На вопрос о том, ответила ли соцсеть исследователю, что не считает уязвимость достаточно важной, представитель Facebook не дал ответа. При этом он сообщил о предотвращении инженерами компании представленной на видео уязвимости. По словам исследователя, Facebook Email Search v1.0 использует практически ту же уязвимость интерфейса, которая ранее этом году уже была обнаружена. Тогда компания также сообщила о её устранении, но, похоже, что это не так.

Пока достоверно неизвестно, использовал ли кто-нибудь эту ошибку для создания массивной базы данных, однако она является достаточно опасной уязвимостью. Подобное уже случилось в начале апреля, когда стало известно об огромной утечке личных данных 533 млн пользователей Facebook: