Ron Masas neve bizonyára ismerősen cseng a Facebook mérnökei számára, az Imperva kiberbiztonsággal foglalkozó szakembere ugyanis idén már a második igen komoly sérülékenységről tett bejelentést a közösségi oldalnál.

Masas most a Facebook keresési találatainál figyelt fel arra, hogy a közösségi oldal ezen része egyáltalán nincs védve az úgynevezett CSRF (Cross-Site Request Forgery) támadásoktól, a rosszindulatú utasításokat kihasználni képes személyek így pedig bizalmas információkat is megszerezhettek a szolgáltatás használójáról. A sérülékenység maga azért is problémás, mert egy esetleges támadásról az áldozat valószínűleg soha nem szerez tudomást.

A szakember egy videó is mellékelt, hogy demonstrálja a sérülékenység lényegét. Ezen az látható, hogy egy általa működtetett weblap a klasszikus lekérdezési művelettel képes volt megmondani, hogy a keresett személy milyen oldalakat követ, milyen vallásúak és hol élnek a barátai, osztottak-e meg olyan bejegyzéseket, amelyekben különleges karaktereket használtak. A laikus számára veszélytelennek tűnő információk ezek, de a hackereknek valójában kincsesbánya.

Masas elmondása szerint a hibát májusban jelezte a Facebooknak, a közösségi oldal pedig néhány nap alatt javította azt, illetve felfedezéséért cserébe 8000 dollárt fizettek neki.

A közösségi oldal a TechCrunch kérdésére azt írta, nem észleltek visszaélést. Mindez az utóbbi idők történései miatt nehezen hihető, főleg, hogy azóta más gondokra is fény derült.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.