Geekly articles weekly

Uma nova vulnerabilidade no Facebook leva ao vazamento de dados pessoais dos usuários



Imagem: Pexels

Pesquisadores de segurança da informação descobriram uma vulnerabilidade na rede social Facebook - esse erro pode levar a vazamentos de informações confidenciais sobre usuários e amigos. Foi detectado um erro na função de pesquisa de rede social.

Qual é o problema


Segundo o pesquisador Ron Masas, da Imperva, a página que exibe os resultados da pesquisa inclui elementos do iFrame relacionados aos resultados da pesquisa. Os URLs finais desses iFrames não são de forma alguma protegidos contra falsificação de solicitação entre sites, ataques de CSRF).

Para explorar uma vulnerabilidade, um invasor precisa induzir os usuários a visitar um site especial. É importante que o usuário esteja conectado ao seu perfil do Facebook. Qualquer clique em uma página da web em segundo plano executará o código JavaScript. Esse código abre uma nova guia com a URL do Facebook, na qual uma solicitação predeterminada é executada para obter as informações necessárias para o invasor.



Esse ataque pode ser usado para procurar informações como "foto de férias" e para extrair dados mais confidenciais, incluindo:

  • o usuário tem amigos com um nome ou palavra-chave específica no nome do perfil;
  • de quais páginas o usuário gosta e em quais grupos ele pertence;
  • Ele tem amigos seguindo uma página específica?
  • a presença de fotos de determinados locais ou países;
  • Se o usuário publicou postagens contendo palavras-chave específicas
  • Ele tem amigos de uma religião em particular?
  • etc.

Portanto, a vulnerabilidade divulga dados confidenciais do usuário, mesmo que eles definam configurações de privacidade que proíbem o compartilhamento dessas informações com pessoas de fora.

O processo pode ser repetido várias vezes sem a necessidade de abrir novas guias. Como resultado, esse ataque representa o maior perigo para os usuários móveis - é mais difícil para eles acompanhar a abertura de novas guias.

Como se proteger


Pesquisadores se voltaram para o Facebook, e a empresa já corrigiu a vulnerabilidade. Os engenheiros de redes sociais adicionaram proteção contra ataques CSRF.

Quando o desenvolvimento é iniciado devido à alta demanda por serviços e produtos, cada vez mais desenvolvedores estão introduzindo processos de integração e entrega contínuos (CI / CD). Uma parte integrante do CI / CD é a segurança do software que está sendo desenvolvido. É especialmente importante identificar e eliminar com precisão as vulnerabilidades. No entanto, na prática, nem tudo é tão simples.

Muitas pessoas acreditam erroneamente que a análise da qualidade do código é suficiente para verificar o software, inclusive quanto a riscos de segurança. E aqueles que entendem que não é assim e recorrem a ferramentas de análise de segurança enfrentam o problema da verificação de vulnerabilidades. Geralmente, é realizada manualmente e levando em consideração o fato de que o número de vulnerabilidades pode chegar a centenas e milhares, a eficácia do processo de CI / CD e a viabilidade de seu suporte se tornam uma grande questão.

Na quinta-feira, 22 de novembro , às 14h , Alexey Zhukov, especialista do departamento de segurança de aplicativos da Positive Technologies, realizará um webinar gratuito. Em seu curso, você aprenderá como garantir que, em processos contínuos, grandes volumes e prazos de gravação, os defeitos de segurança não sejam despercebidos e a verificação deles não se torne um gargalo. Alexey falará sobre como automatizar com competência o processo de garantir a segurança do software e aumentar a eficiência da execução de tarefas básicas. O webinar será útil para desenvolvedores e especialistas em DevOps.

Para participar do webinar, você precisa se registrar .

Source: https://habr.com/ru/post/pt430644/

More articles:


All Articles