Получить форму заявки на раскрытие информации Facebook может кто угодно

Получить форму заявки на раскрытие информации Facebook может кто угодно

Alexander Antipov

Любой, у кого есть электронный адрес, может получить доступ к порталам, предназначенным для правоохранительных органов.

image

Сотрудники компании Facebook вручную просматривают запросы на раскрытие информации пользователей, не проверяя электронные адреса тех, кто запрашивает доступ к порталам, предназначенным исключительно для сотрудников правоохранительных органов. Другими словами, любой, у кого есть электронный адрес, может получить доступ к порталам, где правоохранительные органы запрашивают данные о пользователях Facebook и WhatsApp.

К такому выводу пришел исследователь безопасности Джейкоб Риггс (Jacob Riggs), которому удалось авторизоваться на порталах с помощью произвольного электронного адреса. Все что нужно было сделать, — ввести свой электронной адрес, отправить его на порталы, а затем кликнуть на ссылку подтверждения, отправленную по указанному адресу. После этого ему пришла электронная форма заявки на получение информации.

Стоит отметить, что доступ к вышеупомянутым порталам не гарантирует доступа к какой-либо информации пользователей Facebook и WhatsApp или самих компаний. Тем не менее, из-за отсутствия фильтрации электронных адресов, запрашивающих к ним доступ, порталы могут стать мишенью для спамеров, которые могут отправлять поддельные запросы.

Риггс сообщил о своем открытии Facebook, полагая, что проблема связана с недоработкой проекта. Однако, как заявили представители компании, это – предусмотренная функция, а не ошибка.

Подписывайтесь на каналы «SecurityLab» в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Источник: Securitylab