博天堂入口IS

构建、支持和实现数字技术生态系统

  • 0
加入今天

脸谱网市场漏洞暴露了卖家的确切位置

张贴在 成员的新闻, 博天堂入口ISCyber By 希瑟贴在

脸谱网修补了其数字市场的一个漏洞,该漏洞可能被滥用来识别卖家的位置, 引申开来, 他们的货物.

脸谱网 市场,用户可以通过脸谱网应用程序和网站列出待售商品.

研究人员约翰·莫斯(John 莫斯)正在研究如何从脸谱网市场中获取可能有助于追回赃物的信息. 但在研究市场提供的位置数据时, 他发现JSON (JavaScript对象符号)对脸谱网移动应用程序创建的广告的响应不是近似的. 相反, 莫斯 在一篇博客文章中说,这些数据包括精确的经纬度坐标.

“我的发现基本上会让小偷把脸谱网的市场当成购物清单,莫斯说。, 他是七元素公司的高级安全顾问, 爱丁堡的一家安全测试和事件响应咨询公司, 博天堂入口.

莫斯说,他通过使用脸谱网的应用程序创建一个列表来验证这个问题, 然后将待售物品的位置锁定在纽卡斯尔的一家酒店.

无需登录脸谱网, 莫斯随后访问了该清单,发现它不仅包括完整的邮政编码,还包括在邮政地址上添加的字母和数字, 像U这样的函数.S. 邮政编码,还有经纬度.

“作为一个在过去七年中利用业余时间打击自行车盗窃的人, 我特别担心的是,小偷可能会用这个来确定高价自行车的位置,这些自行车通常存放在容易被闯入的附属建筑中,他说


脸谱网两次拒绝漏洞报告

莫斯说,脸谱网似乎从未打算透露这些具体的位置信息. 当列出待售物品时, 例如, 脸谱网的界面显示了一个大圆圈,显示“卖家位置”,这表明它是近似的.

但他发现JSON数据不是这种情况,它无法截断邮政编码. “我还希望脸谱网只显示邮政编码的前三四个字符,而不是全部,或者在圆圈内随机分配位置. 事实上, 当时脸谱网进行了修复,以防止这些信息泄露, 以上似乎是他们采取的方法, 现在,当我想添加广告时, 它突然飞向当地的一个公园.”

虽然这个问题现在已经解决了, 莫斯说,脸谱网两次拒绝了他的漏洞报告, 说这不是安全漏洞.

“感觉有点沮丧,我和一个在脸谱网工作的人聊了聊. 他们可以让人更深入地了解我实际报道的内容, 结果报告被接受了,他说. 一个多星期后,修复很快就实施了.”

莫斯还从社交网络获得了5000美元的漏洞赏金.

“我们最近收到了一个关于市场问题的漏洞赏金报告,该报告确定了一个场景,攻击者可以看到比JSON显示的列表更精确的位置,一位发言人告诉信息安全媒体集团. “我们解决了这个问题, 我们非常感谢安全研究社区的帮助,他们保证了脸谱网社区的安全.”

脸谱网没有立即评论这个位置泄露漏洞存在了多久,以及它是否在全球范围内存在, 或者莫斯在试图报告这个问题时所面临的挑战.

“我第一次发现这个问题是在2月11日. 10. 我不能说它在那之前是否存在,”莫斯告诉ISMG. “我只在美国测试过.K.”

莫斯明确表示,他的漏洞赏金不会用于购买任何新自行车. “我那长期受苦的伴侣要求用这笔钱来装修厨房和家庭度假,他说. “显然我只能骑这么多自行车.”


更多应用安全问题

糟糕的应用程序安全性导致用户个人信息泄露,这已经不是第一次了, 包括位置, 被发现.

  • PumpUp 2018年6月,该公司证实其一直在泄露用户数据, 包括他们的电子邮件地址, 位置和锻炼记录, 以及自我报告的健康信息,如身高和体重,以及一些未加密的信用卡信息, 包括付款卡号, 这些信息被上传到一个暴露于互联网的亚马逊服务器上,任何人都可以访问.
  • Under Armour的MyFitnessPal应用程序和网站1亿5千万用户的密码和其他数据被黑客窃取, 该公司在2018年3月警告说. MyFitnessPal是一款免费的智能手机应用程序和网站,用户可以通过它来追踪饮食和锻炼情况,以帮助减肥. 它还可以用来跟踪用户的锻炼情况.
  • Strava 直到去年,该公司还提供全球热点地图,显示用户在特定路线上旅行的频率,同时通过该公司的应用记录他们的锻炼情况, 在智能手机和可穿戴设备上运行. 但这些数据似乎也披露了绝密设施的布局,并可能被用来识别担任秘密角色的个人.


“Strava盗窃”

莫斯正在研究的问题不是学术问题. 事实上, 在网上搜索“Strava被盗”,你会发现很多这样的例子:健身爱好者在网上发布自己的自行车旅行记录,发现小偷利用这些记录来识别自己感兴趣的东西,然后去偷.

“公众在使用Strava等应用程序时应该小心,以确保它们不会无意中泄露私人信息和位置,英格兰亨伯赛德警察局的罗布·丹比警官几年前警告说, 他说,他发现从车库和车棚盗窃自行车的案件有所增加.

2018年9月, 例如, 有人偷了超过16美元,从亚当·琼斯在埃塞克斯的车库里找到了价值5000美元的高性能自行车, 英格兰, 把他妻子的破车抛在脑后.

琼斯告诉英国媒体 回声 报纸上说他怀疑小偷一定是认识他的人.

但在和这里的一家自行车店交谈之后, 那家伙说:“你跑得快吗?’”琼斯说。 《博天堂入口》.

“我不知道犯罪分子正在做的事情是了解人们在哪里骑自行车以及在什么路线上骑自行车, 然后用它来追踪他们的住处,他说. 他说:“他们正在把人们发帖速度快和可能拥有更好的设备联系起来. 当我意识到发生了什么事时,我非常震惊, 对于破门而入的人来说,它一定像个宝箱.”


隐私:不总是默认的

Strava等应用程序有隐藏乘车开始和结束的设置, 或者设置信息不被记录的禁区.

但许多用户显然无法理解或配置这些控件.

另一个挑战, 安全专家说, 包括脸谱网在内的一些应用程序可能会列出用户的真实姓名, 为公开上市选择在线句柄也是如此. 因此, 即使没有位置数据, 任何发布广告的人的身份和位置对于攻击者来说可能不难通过互联网搜索推断出来.

来源: 今日数据泄露

滚动到顶部
X