Facebook lekt afgeschermde gebruikersdata

door

Bright privacy

door

Nieuws - Facebook lekt privacy-gevoelige profielgegevens door een cross-site request forgery-gat. Ook malafide phishig-apps hengelen naar gebruikersdata.

Hacker Ronen van Quaji.com heeft dit ontdekt. Hij meldt dat het ene gat dat hij gebruikt om binnen te komen nu is gedicht. Het onderliggende mechanisme zou nog gewoon aanwezig zijn en mogelijk ook gelden voor andere sociale netwerken.

Automatische verstrekking

De 'boosdoener' is de Automatic Authentication van Facebook die automatisch gebruikersinformatie verstrekt aan Facebook-apps, zonder dat de gebruiker daarvoor toestemming hoeft te geven. Dat gebeurt dus alleen voor interne apps, maar een eenvoudige redirect binnen Facebook omzeilt een controlemechanisme van het sociale netwerk. Het sociale netwerk dient dan als 'middle man' in de aanval.
De ontdekker van dit lek heeft zijn aanval volledig uitgewerkt, tot en met de meest 'nuttige' en efficiënte manier om het te misbruiken. Zo heeft hij een speciale img-tag gemaakt voor een plaatje op een forum wat ervoor zorgt dat de nietsvermoedende bezoeker zijn of haar persoonlijke gegevens 'lekt'.

Cross-site

Bovendien is deze aanval ook mogelijk vanaf andere websites en forums. De enige voorwaarde is dat de Facebook-gebruiker in kwestie wel is ingelogd op dat sociale netwerk. Dat is vaak wel het geval, schrijft de hacker in zijn eerste melding van dit gat. Daar heeft hij nu een volledige uitleg aan toegevoegd, het cross-site request forgery (csrf) gat is nu namelijk gedicht. Toch is de gebruikte methode nog altijd valide, stelt hij.

Phishing-apps

Ondertussen is Facebook druk doende met de bestrijding van malafide apps. Volgens security-bedrijf Trend Micro is dat een gevecht tegen de bierkaai; het sociale netwerk heeft net 6 van die phishing-apps uitgeschakeld, maar 5 nieuwe zijn alweer waargenomen. Verder heeft het grote sociale netwerk nu een aanklacht in de Verenigde Staten tegen zich lopen over het lekken, maar ook doelbewust delen, van privacygevoelige informatie.

Demonstratie van de Facebook-hack:

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

25 SEPTEMBER: IT INNOVATION DAY
 
dagen
:
 
uren
:
 
min.
:
 
sec.

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.