Os administradores da página do Facebook são exibidos publicamente somente se os administradores escolherem apresentar seus perfis.
No entanto, existem algumas situações nas quais você pode querer entrar em contato com um administrador da página do Facebook ou deseja descobrir quem é o proprietário de uma página do Facebook.
O pesquisador de segurança egípcio, Mohamed A. Baset, descobriu uma vulnerabilidade grave de divulgação de informações no Facebook que poderia ter permitido que alguém expusesse perfis de administrador da página do Facebook, o que, de outra forma, não deveria ser uma informação pública.
A Baset afirmou ter descoberto a vulnerabilidade em menos de 3 minutos sem qualquer tipo de teste ou prova de conceitos, ou qualquer outro tipo de processo demorado.
Em uma postagem no blog , Baset disse que encontrou a vulnerabilidade, que ele descreveu como um "erro lógico", depois de receber um convite para gostar de uma página do Facebook específica na qual ele já gostou de uma postagem.
O Facebook introduziu um recurso para os administradores de páginas em que eles podem enviar convites do Facebook para os usuários, perguntando se eles gostariam de gostar da sua página depois de gostar de uma publicação e, alguns dias depois, esses usuários interagidos podem receber um e-mail lembrando-os do convite.
O Facebook introduziu um recurso para os administradores de páginas em que eles podem enviar convites do Facebook para os usuários, perguntando se eles gostariam de gostar da sua página depois de gostar de uma publicação e, alguns dias depois, esses usuários interagidos podem receber um e-mail lembrando-os do convite.
Depois que o Baset recebeu um desses convites por e-mail, ele simplesmente abriu a opção de menu suspenso "mostrar original" no e-mail. Olhando para o código-fonte do e-mail, ele percebeu que incluiu o nome do administrador da página, ID do administrador e outros detalhes.
O investigador então informou imediatamente o problema ao Facebook Security Team através do seu programa de recompensas Bugcrowd bug. A empresa reconheceu o erro e premiou Baset $ 2.500 por suas descobertas.
Embora o Facebook tenha corrigido esta questão de divulgação de informações, as pessoas que já receberam um desses convites de página ainda podem descobrir os detalhes do administrador nos e-mails de convite.
"Conseguimos verificar que, em algumas circunstâncias, os convites da página enviados para não amigos revelariam, inadvertidamente, o nome da admin da página que os enviou", disse o Facebook. "Nós abordamos a causa raiz aqui, e os futuros emails não conterão essa informação".O Facebook já corrigiu esta questão de divulgação de informações.
FONTE:THEHACKERNEWS
Comentários
Postar um comentário