Cum telefonul asociat contului de Facebook poate fi o vulnerabilitate

(însemnare scrisă de Bogdan – http://www.m-sec.net/)

Facebook este cea mai cunoscută și folosită platformă de socializare, același lucru fiind valabil și în România. Desigur, nimeni nu e obligat să dețină un cont pe Facebook, însă ușurința cu care poți interacționa cu alte persoane, ușurința prin care poți partaja imagini, dar și dorința de a vedea ce mai fac alții, de a le vedea o parte din viață, te împinge în a-ți crea un cont pe această platformă.

Și de aici începe problema: pe de o parte Facebook nu vine cu toate setările de securitate la maxim, iar majoritatea persoanelor nu știu să configureze aceste setări de confidențialitate. Mai mult, uneori setările făcute sunt puțin contradictorii și nu poți verifica în totalitate dacă într-adevăr se aplică aceste setări.

În urmă cu un an îi contactam pe cei de la Facebook în le scriam că oricine poate găsi numele persoanei care deține un cont, dacă acea persoană are asociat un număr de telefon. Răspunsul primit atunci a fost că ei au un algoritm complex prin care își pot da seama dacă persoana căutată s-a conectat vreodată pe computerul de pe care se face căutarea.

Atunci nu am acordat prea mare importanță însă zilele acestea mi-am reamintit de cele întâmplate și am decis să mai testez încă odată acest aspect. De această dată am început să introduc numere aleatorii în speranța că voi găsi măcar o persoană care deține acel număr. Inițial credeam că nu prea voi avea șanse de reușită, însă m-am înșelat. După doar 3 încercări aveam deja un rezultat, iar persoana găsită nu era în lista de prieteni. Ce m-a intrigat și mai tare a fost faptul că la detaliile de profil ale acelei persoane nu apărea și numărul de telefon, dar totuși Facebook știa cine este.

Am aflat că în urmă cu 2 ani un cercetător pe securitate informatică reușise să extragă mii de numere de telefon cu ajutorul Facebook folosindu-se de faptul că setarea implicită la adăgarea numărului propriu de telefon era ca oricine să poată căuta după acest număr. Între timp, cei de la Facebook au afirmat că problema a fost rezolvată prin limitarea numărului de căutări și prin oferirea posibiliății de a schimba cine poate face o astfel de căutare.

Unde este problema? – Setările telefonului asociat de contul de Facebook



Atunci când adăugați numărul de telefon mobil pentru contul de Facebook, o primă setare se referă la cine vede acest număr.

Totuși într-o altă locație puteți seta cine vă poate găsi după acest număr de telefon, deși ați specificat că doar voi puteți vedea acel număr.

Din păcate cea mai puțin permisivă setare este ca doar prietenii să vă poată căuta. Așadar, odată adăugat numărul, cel puțin toți prietenii din listă vă pot căuta folosind numărul de telefon pe care doar voi îl puteți vedea. După părerea mea această limitare e cam inutilă. E ca și cum doar voi vă știți CNP-ul însă orice alt prieten are o modalitate de a introduce CNP-uri și de a vedea cine e acea persoană.

Doar că această setare este inutilă dacă folosim opțiunea de a recupera un cont folosind telefonul (vezi detalii mai jos).

Totodată am găsit și o posibilă explicație pentru care mi-a fost ușor să găsesc doar după câteva încercări persoanele care stau în spatele acelui număr. Știu că la un moment dat Facebook mă îndemna să îmi adaug telefonul pe profil pentru a fi mai bine protejat de eventualele atacuri și astfel mulți au făcut acest lucru.

Cum cauți un cont de Facebook după numărul de telefon?

Cu toate acestea, cele raportate de mine către Facebook nu făceau referire la căutarea clasică, ci la o altă modalitate.

Ce am folosit nu necesită a avea un cont pe Facebook și oricine poate efectua o astfel de căutare. Lucrurile sunt destul de simple: odată accesată pagina Facebook.com ai opțiunea de a-ți recupera parola în caz că ai uitat-o. La câmpul de căutare al contului ai mai multe posibilități: adresa de e-mail, numărul de telefon, numele de utilizator sau numele tău complet.

După cum probabil ați ghicit, în momentul în care introduci un număr de telefon, rezultatul va fi contul asociat acestui număr.

Pe lângă numele și poza persoanei apare într-o formă mascată și adresa de email asociată contului, după cum puteți vedea în imagine.

Facebook spune că aceste setări nu sunt o problemă de securitate!

Tocmai acest lucru l-am raportat din nou celor de la Facebook, care mi-au răspuns din nou că nu este o problemă:

Și, dacă tot nu este o problemă, am vrut să văd până unde poate merge această funcție. Oare pot găsi persoane publice, persoane cu o oarecare importanță? Am pornit de la ideea că astfel de persoane au de obicei numere preferențiale și ușor de reținut.

Cum poți ghici numărul de telefon asociat unui cont?

Astfel am scris un scurt program ce îmi genera astfel de numere, după care cu un alt program am încărcat aceste numere și le-am trimis către site-ul Facebook pentru a-mi returna numele persoanei și eventual poza sau adresa de email. Cam în acest mod arăta într-o formă intermediară:

Ce am observat e că într-adevar Facebook limitează numărul de căutări, cerând la un moment dat introducerea unui cod de tip captcha. Dar asta nu constituie o problemă întrucât limitarea se aplica pentru o perioadă de 10-15 minute, însă chiar și așa se poate evita limitarea dacă trimitem cererile folosind mai multe proxy-uri sau Tor.

Ce conturi găsești cu câteva căutări?

Iată și câteva rezultate interesante descoperite în urma căutarii de număre aleatoare de telefon (nu am cautat dupa numere de telefon găsite pe Internet) inclusiv un fost director de ziar românesc sau un europarlamentar din România:







Căutările au fost făcute atât prin opțiunea Facebook de recuperare a parolei cât și folosind căutarea clasică, fiind autentificat. Cu nici o persoană găsită nu sunt prieten – contul fiind unul de test – iar rezultatele nu au fost folosite în orice alte scopuri, aceste rezultate nefiind publice.

Concluzii

Prin exemplele aratate (și testate) mai sus, contul vostru ar putea fi în pericol dacă aveți numărul de telefon asociat contului de Facebook, prin următoarele acțiuni:

folosirea unui telefon furat (sau la care ai acces pentru a primi un SMS) pentru a avea acces la contul de Facebook asociat acelui numar de telefon

ghicirea sau confirmarea numarului de telefon al unei persoane care are cont de facebook (interesant in special pentru a confima persoane publice)

aflarea adresei personale de email in cazul persoanelor publice în anumite cazuri (chiar daca adresa de email nu este oferita complet, de multe ori este usor de dedus)

aflarea contului de Facebook al unei persoane unde ai numarul de telefon – in special daca contul de Facebook nu este identic cu numele persoanei cautate

Dacă vreți să mai limitați din ceea ce știe Facebook despre voi, dar și pentru a vă proteja mai mult identitatea, ștergeți-vă din profilul de Facebook numărul de telefon asociat contului, pe lângă lucrurile menționate deja pe acest blog. Faptul că Facebook nu oferă cu adevărat setări puternice de confidențialitate și au ignorat de cel puțin două ori raportările făcute este un lucru destul de neplăcut și îngrijorător.