Cum telefonul asociat contului de Facebook poate fi o vulnerabilitate

(însemnare scrisă de Bogdan – http://www.m-sec.net/)

Facebook este cea mai cunoscută și folosită platformă de socializare, același lucru fiind valabil și în România. Desigur, nimeni nu e obligat să dețină un cont pe Facebook, însă ușurința cu care poți interacționa cu alte persoane, ușurința prin care poți partaja imagini, dar și dorința de a vedea ce mai fac alții, de a le vedea o parte din viață, te împinge în a-ți crea un cont pe această platformă.

Și de aici începe problema: pe de o parte Facebook nu vine cu toate setările de securitate la maxim, iar majoritatea persoanelor nu știu să configureze aceste setări de confidențialitate. Mai mult, uneori setările făcute sunt puțin contradictorii și nu poți verifica în totalitate dacă într-adevăr se aplică aceste setări.

În urmă cu un an îi contactam pe cei de la Facebook în le scriam că oricine poate găsi numele persoanei care deține un cont, dacă acea persoană are asociat un număr de telefon. Răspunsul primit atunci a fost că ei au un algoritm complex prin care își pot da seama dacă persoana căutată s-a conectat vreodată pe computerul de pe care se face căutarea.

Atunci nu am acordat prea mare importanță însă zilele acestea mi-am reamintit de cele întâmplate și am decis să mai testez încă odată acest aspect. De această dată am început să introduc numere aleatorii în speranța că voi găsi măcar o persoană care deține acel număr. Inițial credeam că nu prea voi avea șanse de reușită, însă m-am înșelat. După doar 3 încercări aveam deja un rezultat, iar persoana găsită nu era în lista de prieteni. Ce m-a intrigat și mai tare a fost faptul că la detaliile de profil ale acelei persoane nu apărea și numărul de telefon, dar totuși Facebook știa cine este.

Am aflat că în urmă cu 2 ani un cercetător pe securitate informatică reușise să extragă mii de numere de telefon cu ajutorul Facebook folosindu-se de faptul că setarea implicită la adăgarea numărului propriu de telefon era ca oricine să poată căuta după acest număr. Între timp, cei de la Facebook au afirmat că problema a fost rezolvată prin limitarea numărului de căutări și prin oferirea posibiliății de a schimba cine poate face o astfel de căutare.

Unde este problema? – Setările telefonului asociat de contul de Facebook

Atunci când adăugați numărul de telefon mobil pentru contul de Facebook, o primă setare se referă la cine vede acest număr.

phone-privacy

Totuși într-o altă locație puteți seta cine vă poate găsi după acest număr de telefon, deși ați specificat că doar voi puteți vedea acel număr.

phone-search

Din păcate cea mai puțin permisivă setare este ca doar prietenii să vă poată căuta. Așadar, odată adăugat numărul, cel puțin toți prietenii din listă vă pot căuta folosind numărul de telefon pe care doar voi îl puteți vedea. După părerea mea această limitare e cam inutilă. E ca și cum doar voi vă știți CNP-ul însă orice alt prieten are o modalitate de a introduce CNP-uri și de a vedea cine e acea persoană.

Doar că această setare este inutilă dacă folosim opțiunea de a recupera un cont folosind telefonul (vezi detalii mai jos).

Totodată am găsit și o posibilă explicație pentru care mi-a fost ușor să găsesc doar după câteva încercări persoanele care stau în spatele acelui număr. Știu că la un moment dat Facebook mă îndemna să îmi adaug telefonul pe profil pentru a fi mai bine protejat de eventualele atacuri și astfel mulți au făcut acest lucru.

Cum cauți un cont de Facebook după numărul de telefon?

Cu toate acestea, cele raportate de mine către Facebook nu făceau referire la căutarea clasică, ci la o altă modalitate.

facebook-search

Ce am folosit nu necesită a avea un cont pe Facebook și oricine poate efectua o astfel de căutare. Lucrurile sunt destul de simple: odată accesată pagina Facebook.com ai opțiunea de a-ți recupera parola în caz că ai uitat-o. La câmpul de căutare al contului ai mai multe posibilități: adresa de e-mail, numărul de telefon, numele de utilizator sau numele tău complet.

facebook-forgot

După cum probabil ați ghicit, în momentul în care introduci un număr de telefon, rezultatul va fi contul asociat acestui număr.

facebook-user

Pe lângă numele și poza persoanei apare într-o formă mascată și adresa de email asociată contului, după cum puteți vedea în imagine.

Facebook spune că aceste setări nu sunt o problemă de securitate!

Tocmai acest lucru l-am raportat din nou celor de la Facebook, care mi-au răspuns din nou că nu este o problemă:

facebook-raspuns

Și, dacă tot nu este o problemă, am vrut să văd până unde poate merge această funcție. Oare pot găsi persoane publice, persoane cu o oarecare importanță? Am pornit de la ideea că astfel de persoane au de obicei numere preferențiale și ușor de reținut.

Cum poți ghici numărul de telefon asociat unui cont?

Astfel am scris un scurt program ce îmi genera astfel de numere, după care cu un alt program am încărcat aceste numere și le-am trimis către site-ul Facebook pentru a-mi returna numele persoanei și eventual poza sau adresa de email. Cam în acest mod arăta într-o formă intermediară:

facebook-autoreq

Ce am observat e că într-adevar Facebook limitează numărul de căutări, cerând la un moment dat introducerea unui cod de tip captcha. Dar asta nu constituie o problemă întrucât limitarea se aplica pentru o perioadă de 10-15 minute, însă chiar și așa se poate evita limitarea dacă trimitem cererile folosind mai multe proxy-uri sau Tor.

Ce conturi găsești cu câteva căutări?

Iată și câteva rezultate interesante descoperite în urma căutarii de număre aleatoare de telefon (nu am cautat dupa numere de telefon găsite pe Internet) inclusiv un fost director de ziar românesc sau un europarlamentar din România:

rez1
rez2

rez-3
Căutările au fost făcute atât prin opțiunea Facebook de recuperare a parolei cât și folosind căutarea clasică, fiind autentificat. Cu nici o persoană găsită nu sunt prieten – contul fiind unul de test – iar rezultatele nu au fost folosite în orice alte scopuri, aceste rezultate nefiind publice.

Concluzii

Prin exemplele aratate (și testate) mai sus, contul vostru ar putea fi în pericol dacă aveți numărul de telefon asociat contului de Facebook, prin următoarele acțiuni:

  • folosirea unui telefon furat (sau la care ai acces pentru a primi un SMS) pentru a avea acces la contul de Facebook asociat acelui numar de telefon
  • ghicirea sau confirmarea numarului de telefon al unei persoane care are cont de facebook (interesant in special pentru a confima persoane publice)
  • aflarea adresei personale de email in cazul persoanelor publice în anumite cazuri (chiar daca adresa de email nu este oferita complet, de multe ori este usor de dedus)
  • aflarea contului de Facebook al unei persoane unde ai numarul de telefon – in special daca contul de Facebook nu este identic cu numele persoanei cautate

Dacă vreți să mai limitați din ceea ce știe Facebook despre voi, dar și pentru a vă proteja mai mult identitatea, ștergeți-vă din profilul de Facebook numărul de telefon asociat contului, pe lângă lucrurile menționate deja pe acest blog. Faptul că Facebook nu oferă cu adevărat setări puternice de confidențialitate și au ignorat de cel puțin două ori raportările făcute este un lucru destul de neplăcut și îngrijorător.

16 Comments

  1. Pingback: Dacă ţi-ai asociat telefonul cu contul de Facebook, s-ar putea să ai probleme... - Cristian China Birta

  2. Pingback: Un IT-ist a aflat numărul de mobil al soției lui Ponta

  3. Pingback: Ziarul PROFIT Vulnerabilitate Facebook dezvaluita de un expert IT roman: Oricine poate afla cui apartine un numar de telefon asociat unui cont - Ziarul PROFIT

  4. Dan

    Frumos articol!

    Daca meditez asupra ideii putin, sunt ceva modalitati de exploatare. Oameni din telesales fericiti, social engineering(de exemplu “fiica dumneavoastra, Popescu Ioana, angajata la Auchan a avut un accident de masina, trimiteti $100 pe contul acesta pentru a plati daunele.”) etc.

    Reply
  5. C

    Se pare ca mai exista o vulnerabilitate, prin care se pot “sparge” conturile unor persoane (mai ales persoane publice)… Dupa ce gasim conturi interesante, putem incerca un pic de social engineering: alegem optiunea “no longer have access…”, trecem o adresa de mail pe care o controlam si cu putin noroc, pentru resetare, dam de o intrebare cu un raspuns publicly available (de asta ziceam de persoane publice, despre care se stiu destul de multe – ca de ex unde s-a nascut, unde a trait, cum o chema pe mama inainte de casatorie, etc). Bingo! (se poate opri de la publicare, v-as fi dat pe mail dar nu am gasit unul de contact si n-am avut timp sa caut pe facebook :) )

    Reply
  6. Pingback: CrisPres Vulnerabilitate Facebook dezvaluita de un expert IT roman: Oricine poate afla cui apartine un numar de telefon asociat unui cont - CrisPres

  7. Camelia

    Multumim!

    Reply
  8. ciocian ioan

    Vreau sâ-mi deconectez de pe contul de facebook de pe tabletâ.

    Reply
  9. vio

    Buna. Am o intrebare: cum te poate gasi cineva pe facebook dupa ce te a vazut o singura data in tramvai. Nu e nici o gluma, dar asta mi s a intamplat azi. Un tip s a uitat f insistent la mine in timp ce vb la tel, iar dupa cateva ore cand am ajuns acasa si am intrat pe facebook , imi daduse deja cerere de prietenie, pe care am sters o si evident l am blocat. Dar cred ca este prea putin. Daca m ai putea ti as fi tare recunoscatoare. Multumesc

    Reply
    1. gabi

      exista o functie la google cautare imagini, introduci o poza si iti da alte poze asemanatoare

      Reply
  10. Ionel Manea

    îmi place facebook

    Reply
  11. tuna larisa

    Am o mare problema. Nu imi mai pot recupera parola …nu mai detin acel nr de telefon de comfigurare a codului. Ce pot face

    Reply
  12. Alexandra

    Buna. Problema mea e ca deși mi-am sters numărul de peste tot tot pot fii găsită de oricine. de ce? :(

    Reply
  13. Tarca Costel Adrian

    e destul de bine chiar daca cunoaste detalii despre mine .Unora le place sa fie public afirmat de persoanele care detin informatii de contact despre ele e ca un nume de cod valabil pentru o adevarata identitate care in timp daca te conformezi traiesti si o duci bine,daca nu te comformezi iti este stearsa identitatea.Si mai nou oricine din occident vrea sa fie monitorizat se foloseste acel cip cu unde radio care arata tot timpul locatia si cunoscand detalii personale despre persoana poate sa isi dea seama de anumitele delicte mai grave sau mai putin grave stiindui nr de tel si isi da seama de gravitate si e bine pentru oricine sa fie monitorizat

    Reply
  14. Tarca Costel Adrian

    monitorizareac si localizarea este buna deoarece nu toata lumea respecta legea sau codurile bunelor maniere si diferite persoane cu comportamente grave,hoti,impostori,golani care urmaresc oamenii ca pe o prada vie sa fie opriti la timp si prezenta unor persoane monitorizate ajuta la recuperarea prejudiciilor si stoparea infractionalitatilor.Problema care o avem toata lumea este ca stiind totul de pe o retea sociala care detine date despre toate persoanele cu nr nu sunt multumiti ca cineva sa aiba informatii asa de multe in totalitate despre elesi pot fi afectati psihic si emotional da legea care ar fi trebuit sa se aprobe cu localizarea cipurilor cu unde raio a persoanelor se folosesc in general pe aieroport fiind cipuri pe bagaje pe o marca de inbracaminte si in general verificarea datelor personale de pe reteaua de socializare sunt pentru stergerea identitatii a persoanelor aflate in diferite anturaje .E ca si cum un lepros ar fi liber sau cu ebola sa circule printre oameni e ca un virus citirea datelor personale care peste ani o sa fie bine monitorizate ca acum in era noastra se intampla destule si problema ca unii oameni care cedeaza si rabufnesc expoziv poate afecta persoane cat de pe o retea de socializare cat si intrand in contact cu altii si e daunator ca deja nivelul de mortalitate ajunge sub varsta maxima cu mult si totul e un haos total e ca si cum ai intra in jungla fara cutit ,chibrit si de fapt trebuie sa te inarmezi in public cu rabdare si bun simpt si pregatit sa faci fata admosferei si agitatiei interioare cat ca mai e si viciul si atractia trebuie sa avansam la cote maxime pentru timpurile noastre,ar fi mai multe de spus da deja ma enervez cand vb despre toate astea

    Reply
  15. Ali

    de ce ma mai pot conecta cu numarul de telefon daca l-am sters deja? imi puteti spune, va rog, cum sa fac astfel incat sa nu ma mai pot conecta cu numarul respectiv de telefon?(in plus, cineva a asociat acum ceva timp contului meu un nr de telefon pe care eu l-am sters la scurt timp dupa, dar am impresia ca respectiva persoana se poate loga la contul meu de facebook la fel de bine cum ma pot loga eu, chiar daca eu am sters toate numerele de telefon asociate contului, inclusiv pe al meu) multumesc anticipat!

    Reply

Leave a Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>