[ĐọC thêm: Cách xóa phần mềm độc hại khỏi PC Windows của bạn]

Facebook cũng cho phép người dùng tìm những người khác trên trang web bằng cách tìm kiếm số điện thoại của người đó theo định dạng quốc tế.

Người dùng có thể kiểm soát ai có thể định vị họ bằng phương pháp này thông qua tùy chọn trong "Cài đặt bảo mật"> "Cách bạn Kết nối ">" Ai có thể tra cứu bạn bằng địa chỉ email hoặc số điện thoại bạn đã cung cấp? " Điều này có nghĩa là ngay cả khi bạn đặt khả năng hiển thị của số điện thoại thành "Chỉ tôi" trên trang tiểu sử của bạn, bất kỳ ai biết số điện thoại của bạn sẽ vẫn có thể tìm thấy bạn trên Facebook trừ khi bạn thay đổi cài đặt thứ hai thành "Bạn bè" hoặc "Bạn bè của bạn bè". Không có tùy chọn nào để ngăn mọi người định vị hồ sơ của bạn bằng số điện thoại của bạn.

Vì hầu hết mọi người không thay đổi giá trị mặc định của cài đặt này, kẻ tấn công có thể tạo danh sách các số điện thoại tuần tự trong một lựa chọn phạm vi-ví dụ từ một nhà điều hành cụ thể và sử dụng hộp tìm kiếm của Facebook để khám phá những người mà họ thuộc về, Prakash nói. Việc kết nối một số điện thoại ngẫu nhiên với một cái tên là giấc mơ của mọi nhà quảng cáo và những danh sách này sẽ mang lại một mức giá lớn trên thị trường chợ đen, ông nói. phản ứng đầu tiên vào ngày 31/8 tất cả các email của anh ta đều không được trả lời cho đến ngày 2 tháng 10, khi một đại diện Facebook trả lời và nói rằng tỷ lệ người dùng có thể tìm thấy trên trang web thông qua bất kỳ phương tiện nào, bao gồm cả số điện thoại. Tuy nhiên, phiên bản di động của trang web-m.facebook.com của Facebook không xuất hiện bất kỳ giới hạn tốc độ tìm kiếm nào, Prakash nói.

Nhà nghiên cứu đã tạo ra các con số với tiền tố quốc gia của Hoa Kỳ và Ấn Độ và tạo ra một bằng chứng đơn giản- kịch bản lệnh khái niệm (PoC) đã tìm kiếm chúng trên Facebook và lưu các tập tin được tìm thấy có liên quan đến hồ sơ Facebook, cùng với tên của chủ sở hữu của chúng.

Prakash nói rằng ông quyết định tiết lộ công khai lỗ hổng này vài ngày phía sau er gửi kịch bản PoC của mình lên Facebook, bởi vì công ty không trả lời. Prakash thậm chí còn xuất bản 850 số điện thoại bị xáo trộn một phần và các tên liên quan mà ông tuyên bố, đại diện cho một phần rất nhỏ dữ liệu mà ông thu được trong các bài kiểm tra của ông.

"Đã một tuần kể từ khi tôi bắt đầu chạy nó và tôi vẫn chưa bị chặn, "Prakash cho biết hôm thứ Hai qua email. "Tôi thậm chí còn thông báo cho họ [Facebook] sáng nay (giờ Ấn Độ) vẫn không trả lời."

Facebook không trả lời yêu cầu bình luận được gửi hôm thứ Hai.

Một nhà nghiên cứu khác kiểm tra

Công khai của Prakash, Tyler Borland, một nhà nghiên cứu bảo mật với nhà cung cấp bảo mật mạng Alert Logic, đã tạo ra một kịch bản thậm chí còn hiệu quả hơn có thể chạy tới mười quy trình tìm kiếm điện thoại Facebook cùng một lúc. Kịch bản của Borland được gọi là "trình thu thập điện thoại Facebook" và có thể tìm kiếm các số điện thoại từ một phạm vi do người dùng chỉ định.

"Với các thiết lập mặc định, tôi đã có thể xác minh dữ liệu cho 1 số điện thoại mỗi giây," Borland cho biết qua email vào thứ hai. "Họ [Facebook] không sử dụng bất kỳ loại giới hạn tốc độ nào hoặc tôi chưa đạt đến giới hạn đó. Một lần nữa, tôi gửi hàng trăm yêu cầu trong khoảng thời gian ngắn và không có gì xảy ra."

Với kịch bản của Borland chạy trên một botnet-hơn 100.000 máy tính-kẻ tấn công có thể tìm thấy số điện thoại và tên của hầu hết người dùng Facebook với số điện thoại di động liên quan đến tài khoản của họ trong một vài ngày, Prakash nói.

Thật đáng lo ngại rằng lỗ hổng này vẫn còn mở và có các công cụ công cộng có sẵn để khai thác nó, Bogdan Botezatu, một nhà phân tích về mối đe dọa điện tử cao cấp tại nhà cung cấp phần mềm diệt virus Bitdefender, cho biết. Botezatu cho biết, rất ít người dùng thay đổi cài đặt bảo mật mặc định của họ.

Đây là một ví dụ khác về cách một tính năng tuyệt vời có thể bị lạm dụng nếu cơ chế an toàn kém hiệu quả hoặc bị thiếu hoàn toàn. "Không giống như thư điện tử hoặc nhận xét trên blog, việc tiếp cận người dùng qua điện thoại hiệu quả hơn nhiều trong cuộc tấn công phishing [tiếng lừa đảo], chủ yếu là do người dùng máy tính không biết thực tế là số điện thoại của anh ấy có thể đã kết thúc trong Cùng với thông tin người dùng trong hồ sơ của họ, kẻ tấn công có thể thuyết phục người dùng giao thông tin cá nhân trong thời gian không. "

Cuộc tấn công lừa đảo bằng giọng nói và các loại lừa đảo khác là phổ biến và tỷ lệ thành công của họ đã cao, Botezatu

"Bây giờ hãy tưởng tượng rằng những kẻ lừa đảo này liệt kê bạn bằng tên đầy đủ của bạn và sao lưu các tuyên bố của họ với thông tin về bạn được lấy thẳng từ hồ sơ [Facebook] của bạn." Botezatu nói.