Facebook最近修补了其系统中的两个错误,该错误使非会员可以检查您是否属于某个组,并绘制来自同一城市的会员列表。
通常,如果您属于某个小组,则可以查看其他成员的个人资料。但是,如果您不属于其中,则是不可能的,尤其是在该小组是私人的情况下。
安全研究员MohamedShariff发现了两个错误,这些错误使非成员可以使用graphql中的查询来检查组成员。第一个漏洞是攻击者可以看到同一城市或同一所大学的一个小组的成员。第二个错误允许非成员检查一个人是否属于一个小组。
Shariff于8月向公司报告了此错误。一位Facebook发言人表示,该漏洞已修复,不会影响被隐藏的私人团体。
我们发现并迅速修复了一个影响可见的私人组的错误,该错误使该组之外的人可以查看是否有人是该组的成员。该问题并未影响被隐藏的私人团体。
有了这些信息,有恶意的攻击者就可以将目标锁定在某个私人团体中,并与他们生活在同一城市。或者,他们也可以使用他们所属的私人团体来建立个人资料,以映射他们的兴趣,并将该信息出售给第三方。此修复程序无法尽快推出。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。