Facebook inlog weer goudmijn voor spammers
Gepubliceerd: Vrijdag 20 augustus 2010
Auteur: Tonie van Ringelestijn
Facebooks loginsyteem blijft informatie lekken die handig kan zijn voor spammers, phishers, social engineers of andere kwaadwillenden.
Facebook gaat volgens Ben Prescott, security-analist voor EMC Corporation's Critical Incident Response Center verkeerd om met zijn foutmeldingen in het inlogsysteem, schrijft The Register. Vult een gebruiker een foutief wachtwoord in samen met e-mailadres waaraan een Facebook-account is gekoppeld, dan geeft Facebook een andere foutmelding dan wanneer het e-mailadres niet is geregistreerd op de site. "Het e-mailadres dat u invulde behoort bij geen enkel account", meldt de site in dat laatste geval.
Dat is volgens Prescott vragen om moeilijkheden, want zo valt voor iedereen te checken of bij een bepaald e-mailadres een Facebook-profiel hoort, of of het überhaupt een bestaand en actief e-mailadres is. Dit kan met een scriptje volledig geautomatiseerd worden.
Eerdere bug
De foutmelding verschijnt sinds vorige week toen Facebook juist een oplossing invoerde voor een aantal beveiligingsfouten. Daardoor konden spammers volledige namen en profielfoto's van afgeschermde profielen oogsten. Die truc werkte zelfs bij profielen die op 'privé' stonden ingesteld. De nieuwe kwetsbaarheid levert minder informatie op, maar kan nog steeds kwaadwillenden helpen, mogelijk ook op geautomatiseerde wijze, schrijft The Register.
Security-onderzoekers maakten zich recent nog zorgen over wormvirussen als Koobface, die vooral Facebook-gebruikers als doelwit hebben. Facebook heeft inmiddels meer dan een half miljard geregistreerde gebruikers.
