Facebooks loginsyteem blijft informatie lekken die handig kan zijn voor spammers, phishers, social engineers of andere kwaadwillenden.
Facebook gaat volgens Ben Prescott, security-analist voor EMC Corporation’s Critical Incident Response Center verkeerd om met zijn foutmeldingen in het inlogsysteem, schrijft The Register. Vult een gebruiker een foutief wachtwoord in samen met e-mailadres waaraan een Facebook-account is gekoppeld, dan geeft Facebook een andere foutmelding dan wanneer het e-mailadres niet is geregistreerd op de site. “Het e-mailadres dat u invulde behoort bij geen enkel account”, meldt de site in dat laatste geval.
Dat is volgens Prescott vragen om moeilijkheden, want zo valt voor iedereen te checken of bij een bepaald e-mailadres een Facebook-profiel hoort, of of het überhaupt een bestaand en actief e-mailadres is. Dit kan met een scriptje volledig geautomatiseerd worden.
Eerdere bug
De foutmelding verschijnt sinds vorige week toen Facebook juist een oplossing invoerde voor een aantal beveiligingsfouten. Daardoor konden spammers volledige namen en profielfoto’s van afgeschermde profielen oogsten. Die truc werkte zelfs bij profielen die op ‘privé’ stonden ingesteld. De nieuwe kwetsbaarheid levert minder informatie op, maar kan nog steeds kwaadwillenden helpen, mogelijk ook op geautomatiseerde wijze, schrijft The Register.
Security-onderzoekers maakten zich recent nog zorgen over wormvirussen als Koobface, die vooral Facebook-gebruikers als doelwit hebben. Facebook heeft inmiddels meer dan een half miljard geregistreerde gebruikers.
Ik maak graag vrijblijvend kennis om mee te denken over jouw plannen. Met mijn ervaring en netwerk help ik je om ideeën om te zetten in concrete en succesvolle resultaten.
Bezoekadres
Europalaan 33-14
6199 AB Maastricht-Airport (NL)
Postadres
Bellefroidlunet 23a
6221 KS Maastricht (NL)
Kamer van Koophandel
14089683
