第三方網站可竊取無防備使用者的個人資料？Facebook剛剛堵上漏洞

今年 5 月的時候，安全公司 Imperva 曝光了 Facebook 的一個 bug，其導致第三方網站可以讀取毫無戒心的 Facebook 使用者（及其好友）的私人資訊。萬幸的是，該漏洞現已被成功修復。此前，安全研究員 Ron Masas 發現了 Facebook 的跨站請求偽造（CSRF）漏洞，意味著另一個網站可以通過程式碼查詢的方式，接觸到 Facebook 的使用者資料。

視訊截圖

為了利用該漏洞，站點可以嵌入 iFrame（站點內的站點）來“吸取”使用者的資料：

當已登入的 Facebook 使用者訪問帶有惡意程式碼的網站，並在任意位置點選時觸發指令碼。

其通過向該社交網路傳送查詢來收集使用者資料，例如‘使用者是否喜歡跑步？’、或‘是否有朋友在加拿大？’

據悉，Masas 是在研究 Chrome 漏洞時發現的 Facebook bug，攻擊者可藉此竊取 Facebook 使用者的私人資訊。

可怕的是，即便設定了僅對自己可見，其好友的資料仍可能被這隻黑爪給觸及。比如通過更加複雜的查詢，就可以找到有關某人的宗教信仰、或生活在特定區域的朋友圈等資訊。

Facebook Proof of Concept（via）

視訊地址：

https://v.youku.com/v_show/id_XMzkxODkyNDc4OA==.html?spm=a1z3jc.11711052.0.0&isextonly=1

對於此事，Facebook 發言人在致外媒 TechCrunch 的回覆中寫到：

感謝這位安全研究人員對我司 bug 賞金計劃的支援，報告中的行為並非特定於 Facebook，但我們的使用者資料沒有丟失。

我們已經向瀏覽器製造商和相關 Web 標準組提出了建議，鼓勵它們採取措施防止此類問題在其它 Web 應用上發生。

據悉，Facebook 向 Masas 發放了兩份單獨的賞金，總額為 8000 美元。

來源： cnBeta.COM

宣告：宣告：本網站所提供的資訊僅供參考之用，並不代表本網站贊同其觀點，也不代表本網站對其真實性負責。

更多資訊：

1、思科刪除今年第七個後門賬戶，為聲譽避免使用”後門賬戶“一詞

2、阿凡達的進擊之路

3、Nginx安全問題 允許潛在攻擊者觸發拒絕服務(DoS)狀態並訪問敏感的資訊

4、不讓改密碼，就寄炸彈，一男子最終被判6年