Американский разработчик Томми ДеВосс (Tommy DeVoss) обнаружил уязвимость в Facebook, позволяющую узнать скрытые адреса электронной почты пользователей социальной сети. Результаты исследований он опубликовал на сервисе Dawgyg.com.
По словам ДеВосса, уязвимость связана с специальной функцией Facebook Groups, которая позволяет юзерам создавать объединения и группы по интересам. Разработчик приглашал других пользователей стать администратором паблика: редактировать посты сообщества и добавлять или блокировать подписчиков. Отправленные предложения попадали как в личные сообщения юзеров, так и дублировались в электронной почте каждого приглашенного, привязанной к учетной записи в социальной сети.
В итоге исследователь обнаружил, что, несмотря на установленные настройки конфиденциальности, у администратора любой группы в Facebook есть возможность узнать скрытые пользовательские данные. Когда незаинтересованный в администрировании сообщества юзер отказывается от приглашения с помощью мобильной версии соцсети, автоматически происходит перенаправление на страницу с URL, в котором указывается полный адрес его электронной почты.
ДеВосс отметил, что таким образом злоумышленники могут воспользоваться уязвимостью Facebook для целевых фишинговых атак. Он также добавил, что оповестил администрацию Facebook о своем открытии, и в настоящее время проблема полностью устранена.
За исследование соцсеть выплатила разработчику пять тысяч долларов.