Американский разработчик Томми ДеВосс (Tommy DeVoss) обнаружил уязвимость в Facebook, позволяющую узнать скрытые адреса электронной почты пользователей социальной сети. Результаты исследований он опубликовал на сервисе Dawgyg.com.
По словам ДеВосса, уязвимость связана со специальной функцией Facebook Groups, которая позволяет юзерам создавать объединения и группы по интересам. Разработчик приглашал других пользователей стать администратором паблика: редактировать посты сообщества и добавлять или блокировать подписчиков. Отправленные предложения попадали как в личные сообщения юзеров, так и дублировались в электронной почте каждого приглашенного, привязанной к учетной записи в социальной сети.
В итоге исследователь обнаружил, что, несмотря на установленные настройки конфиденциальности, у администратора любой группы в Facebook есть возможность узнать скрытые пользовательские данные. Когда незаинтересованный в администрировании сообщества юзер отказывается от приглашения с помощью мобильной версии соцсети, автоматически происходит перенаправление на страницу с URL, в котором указывается полный адрес его электронной почты.
ДеВосс отметил, что таким образом злоумышленники могут воспользоваться уязвимостью Facebook для целевых фишинговых атак. Он также добавил, что оповестил администрацию Facebook о своем открытии, и в настоящее время проблема полностью устранена.
За исследование соцсеть выплатила разработчику пять тысяч долларов.