freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Facebook快速修复暴露页面管理员信息的漏洞
2020-01-14 11:36:05

上周Facebook修复了一个安全漏洞,该漏洞暴露页面管理员账户信息,已遭到黑客利用攻击多个知名页面。

页面管理员账户一般是匿名的,除非页面所有者选择公开管理员,而该漏洞允许任何人揭示运行页面的账户信息。

Facebook中的“查看编辑历史”允许页面管理员查看与页面相关的任何活动,包括修改贴文的用户的名称。该漏洞允许攻击者查看做出修改的个人用户账户,包括页面管理员,具有严重的隐私隐患。

外媒Wired确认,在4chan等资讯讨论区上,已经有人开始贴出屏幕截图,截图显示了知名页面背后的账户。要利用该漏洞很简单,攻击者只要打开目标页面,查看某篇贴文的编辑历史,就能够查看编辑每篇贴文的账户信息。

Facebook在收到告警后迅速修复了该漏洞。

Facebook在一份声明中表示,“我们快速修复了一个漏洞。利用该漏洞,攻击者可以通过查询编辑历史查看是谁代表某个页面编辑或发布贴文。我们非常感谢向我们告警该问题的安全研究人员。”

黑客的目标页面名单包括美国总统特朗普,英国街头艺术家班克西,俄罗斯总统普京,前美国国务卿希拉里·克林顿,加拿大总理贾斯廷·特鲁多,黑客组织匿名者,瑞典气候小将格蕾塔·桑伯格以及美国说唱歌手史努比·狗狗等。

2018年2月,安全研究人员MohamedBaset在Facebook上发现了一个类似的漏洞。

Baset表示,他收到了一封邮件,邀请他为某个Facebook页面点赞,他之前曾点赞了该页面的某篇贴文。他分析了Facebook发来的邮件的源代码,发现其中包含了页面管理员的名称和其他信息。Baset表示这是一个逻辑错误漏洞。


本文源自Security Affairs,作者Pierluigi Paganini,译文略有删改,转载请注明出处。

# facebook
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者