Facebookの管理者情報が流出してしまう、シンプルなバグが明らかに!

0
99

Facebookページの管理者は、管理者がプロフィールを選択した場合にのみ公開される仕様です。ただし、Facebookページの管理者に連絡したり、Facebookページの所有者を知りたい場合もあります。

エジプトのセキュリティ研究者、Mohamed A. Basetは、Facebookに重大な情報漏えいの脆弱性を発見しました。この脆弱性により、公開されていないと思われるFacebookページ管理者のプロフィールを公開してしまう可能性があります。



Facebookのページ管理情報が見えてしまう、シンプルなバグ!

Basetは、何らかのテストや概念証明、時間のかかるプロセスなしに、この脆弱性を3分以内の作業で発見したといいます。

ブログの記事で、バセット氏は、脆弱性を「論理的なエラー」と説明した。

Baset氏は、Facebookから電子メールで、受け取ったページ招待状をシンプルに電子メールの「オリジナルを表示」ドロップダウンメニューオプションで開いた。電子メールのソースコードを見ると、ページ管理者の名前、管理者ID、その他の詳細が含まれていることに気がつきました!

研究者はすぐにその問題をBugcrowdバグバウンティプログラムを通じてFacebook Security Teamに報告しました。Facebook社はこのバグを認め、Basetに2,500ドルの報酬を支払っています。

Facebookはこの情報漏えい問題にパッチを当てていますが、そのようなページ招待状をすでに受け取っている人は、引き続き招待メールから管理者の詳細を見つけることができます。

状況によっては、友達でない人に送られたページの招待状が、それを送信したページ管理者の名前を誤って明らかになる可能性があるとFacebookは語った。 我々は根本的な原因をここで取り上げており、今後の電子メールにはその情報は含まれないとコメントしている。
Facebookはこの情報公開の問題を修正しています。