Facebook: Νέα ευπάθεια αφήνει εκτεθειμένα εκατομμύρια emails χρηστών

Ενώ ο θόρυβος από την προηγούμενη ευπάθεια του Facebook, που αφορούσε τη διαρροή των τηλεφώνων περίπου 500 εκατ. χρηστών, δεν έχει ακόμα κοπάσει, φαίνεται ότι ο γίγαντας των μέσων κοινωνικών δικτύωσης είναι αντιμέτωπος με μία ακόμη κρίση.

Ουσιαστικά, η νέα ευπάθεια σχετίζεται με ένα εργαλείο που σε μαζική κλίμακα συνδέει λογαριασμούς του Facebook με τις διευθύνσεις ηλεκτρονικού ταχυδρομείου όσων σχετίζονται με αυτούς, ακόμη και όταν οι εν λόγω χρήστες έχουν επιλέξει από τις ρυθμίσεις της εφαρμογής να μην επιτρέπεται η δημοσίευση του συγκεκριμένου στοιχείου.

Το συγκεκριμένο εργαλείο, με την ονομασία Facebook Email Search v1.0, εμφανίστηκε την Τρίτη στο Διαδίκτυο, υποστηρίζοντας ότι μπορούσε να συνδέσει λογαριασμούς του Facebook με έως και 5 εκατομμύρια διευθύνσεις email κάθε ημέρα. Ο ερευνητής που το δημοσίευσε υποστηρίζει ότι προχώρησε στην αποκάλυψη της ευπάθειας αφού ενημέρωσε το Facebook και αυτό από την πλευρά του θεώρησε ότι η ευπάθεια δεν είναι «αρκετά σημαντική» ώστε να προβεί σε διόρθωση. Η ιστοσελίδα Ars Technica ήρθε σε επαφή με το βίντεο, σε συνθήκες που το βίντεο να μην μπορεί να διαμοιραστεί.

Στο βίντεο φαίνεται να γίνεται μια μικρή επίδειξη των δυνατοτήτων του εργαλείου αφού μετά από μία «τροφοδοσία» με 65.000 ηλεκτρονικές διευθύνσεις άρχισαν να έρχονται τα πρώτα αποτελέσματα. «Όπως βλέπετε λαμβάνω έναν σημαντικό αριθμό αποτελεσμάτων» είπε ο ερευνητής στην ιστοσελίδα Ars Technica που πρώτη δημοσίευσε το θέμα, ενώ στο βίντεο φαίνεται το Facebook Email Search v1.0 να «αποκαλύπτει» την λίστα των διευθύνσεων.

Σε δήλωσή του το Facebook υποστηρίζει ότι η συγκεκριμένη ευπάθεια τακτοποιήθηκε έγκαιρα από την αρμόδια ομάδα της εταιρείας, ενώ εξέφρασε και ευχαριστίες προς τον ερευνητή «που μοιράστηκε τις πληροφορίες ώστε να λάβουμε τις αρχικές ενέργειες να περιορίσουμε το θέμα», τέλος τονίζεται ότι θα παρακολουθήσουν το θέμα ώστε να κατανοήσουν τα συγκεκριμένα ευρήματα.

Παρόλα αυτά, δεν δόθηκε απάντηση στην ερώτηση εάν η εταιρεία είπε στον ερευνητή ότι «δεν θεωρείται σημαντική η συγκεκριμένη ευπάθεια ώστε να εκδοθεί διόρθωση». Αντίθετα, τονίστηκε ότι οι μηχανικοί του Facebook πιστεύουν ότι έχουν εξαλείψει τη διαρροή μέσω της απενεργοποίησης της τεχνικής που εμφανίζεται στο επίμαχο βίντεο.

Ο ερευνητής από την άλλη πλευρά, του οποίου την ταυτότητα η ιστοσελίδα Ars Technica συμφώνησε να μην αποκαλύψει, είπε ότι το εργαλείο Facebook Email Search αποκάλυψε μία front-end ευπάθεια την οποία ανέφερε στο Facebook πρόσφατα αλλά «εκείνοι δεν θεώρησαν ότι είναι αρκετά σημαντικό θέμα για να εκδοθεί διόρθωση». Υπενθυμίζεται ότι ένα παρόμοιο bug είχε εμφανιστεί στο Facebook και στις αρχές του έτους αλλά τότε διορθώθηκε άμεσα.

«Είναι ουσιαστικά ακριβώς η ίδια ευπάθεια» υποστηρίζει ο ερευνητής. «Για κάποιο λόγο, αν και τους παρουσίασα την ευπάθεια και τους προειδοποίησα, αυτοί μου είπαν ευθέως ότι δεν θα λάβουν μέτρα για το συγκεκριμένο ζήτημα».

Προφανώς το ζήτημα δεν είναι μόνο η μη φροντίδα του θέματος από το Facebook αλλά και η προσπάθεια προώθησης της θέσης ότι οι κίνδυνοι για τα δεδομένα των χρηστών της πλατφόρμας είναι ουσιαστικά ελάχιστοι.

Σε κάθε περίπτωση δεν έχει ξεκαθαριστεί εάν κάποιος έχει προλάβει να χρησιμοποιήσει αυτή την τελευταία ευπάθεια για να δημιουργήσει κάποια τεράστια βάση δεδομένων, αλλά σίγουρα αυτό δεν θα αποτελούσε πραγματική έκπληξη.