लोगों की संख्या खोजने के लिए फेसबुक की फोन सर्च का दुरुपयोग किया जा सकता है, शोधकर्ताओं का कहना है कि

हमलावर सुरक्षा शोधकर्ताओं के मुताबिक वैध फोन नंबर और मालिकों के नाम को खोजने के लिए फेसबुक की फोन सर्च फीचर का दुरुपयोग कर सकते हैं।

हमला संभव है क्योंकि फेसबुक हाल ही में एक ब्लॉग पोस्ट में कहा गया है कि एक स्वतंत्र सुरक्षा शोधकर्ता सुरी प्रकाश ने अपनी वेबसाइट के मोबाइल संस्करण के माध्यम से किसी उपयोगकर्ता द्वारा फोन नंबर की खोजों की संख्या सीमित नहीं की है।

फेसबुक उपयोगकर्ताओं को अपने फोन नंबरों को जोड़ने की अनुमति देता है उनके खातों के साथ। यदि वास्तव में, किसी भी नए फेसबुक खाते को सत्यापित करने और वीडियो अपलोडिंग या टाइमलाइन यूआरएल वैयक्तिकरण जैसी सुविधाओं को अनलॉक करने के लिए एक मोबाइल फोन नंबर की आवश्यकता होती है।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

फ़ोन नंबर जोड़ते समय अपने संबंधित फेसबुक प्रोफाइल पेजों की "संपर्क जानकारी" अनुभाग, उपयोगकर्ता चुन सकते हैं कि क्या वे यह जानकारी आम जनता को केवल अपने दोस्तों के लिए दृश्यमान बनाना चाहते हैं या यदि वे इसे स्वयं रखना चाहते हैं, जो एक अच्छा गोपनीयता विकल्प है।

फेसबुक उपयोगकर्ताओं को अंतरराष्ट्रीय प्रारूप में उन लोगों के फोन नंबरों की खोज करके वेबसाइट पर अन्य लोगों को खोजने की इजाजत देता है।

उपयोगकर्ता इस विधि का उपयोग करके "गोपनीयता सेटिंग्स"> "आप कैसे हैं" के माध्यम से इस विधि का उपयोग करके उन्हें ढूंढ सकते हैं। कनेक्ट करें ">" आपके द्वारा प्रदान किए गए ईमेल पते या फ़ोन नंबर का उपयोग करके आपको कौन देख सकता है? " जिसे डिफ़ॉल्ट रूप से "हर कोई" पर सेट किया गया है।

इसका मतलब है कि अगर आप अपने प्रोफाइल पेज पर "केवल मुझे" पर अपना फोन नंबर दृश्यता सेट करते हैं, तो भी कोई भी जो आपका फोन नंबर जानता है, तब भी आपको फेसबुक पर नहीं ढूंढ पाएगा आप दूसरी सेटिंग को "दोस्तों" या "दोस्तों के मित्र" में बदलते हैं। अपने फोन नंबर का उपयोग करके सभी को अपनी प्रोफ़ाइल ढूंढने से रोकने का कोई विकल्प नहीं है।

चूंकि अधिकांश लोग इस सेटिंग के डिफ़ॉल्ट मान को नहीं बदलते हैं, इसलिए किसी हमलावर के लिए चुने गए फोन नंबरों की एक सूची उत्पन्न करना संभव है रेंज- उदाहरण के लिए एक विशिष्ट ऑपरेटर से- और फेसबुक के खोज बॉक्स का उपयोग यह पता लगाने के लिए करें कि वे किसके हैं, प्रकाश ने कहा। उन्होंने कहा कि एक यादृच्छिक फोन नंबर को किसी नाम पर जोड़ना हर विज्ञापनदाता का सपना है और इस तरह की सूचियां काले बाजार पर बड़ी कीमत लाएंगी।

प्रकाश का दावा है कि उन्होंने इस हमले के परिदृश्य को अगस्त में फेसबुक की सुरक्षा टीम के साथ साझा किया था और उसके बाद 31 अगस्त को शुरुआती प्रतिक्रिया उनके सभी ईमेलों को 2 अक्टूबर तक अनुत्तरित नहीं किया गया था, जब एक फेसबुक प्रतिनिधि ने जवाब दिया और कहा कि जिस दर पर उपयोगकर्ता वेबसाइट पर किसी भी माध्यम से फोन नंबरों को प्राप्त कर सकते हैं, प्रतिबंधित है।

हालांकि, फेसबुक की वेबसाइट-एम.फेसबुक.com का मोबाइल संस्करण किसी भी खोज दर सीमा में प्रतीत नहीं होता है।

शोधकर्ता ने अमेरिका और भारत देश के उपसर्गों के साथ संख्याएं उत्पन्न की और एक सरल सबूत बनाया- अवधारणा (पीओसी) मैक्रो लिपि जिसने फेसबुक पर उनके लिए खोज की और उन लोगों को बचाया जो फेसबुक प्रोफाइल से जुड़े हुए थे, साथ ही उनके मालिकों के नामों के साथ।

प्रकाश ने कहा कि उन्होंने कुछ दिनों में कमजोरता का सार्वजनिक रूप से खुलासा करने का फैसला किया पिछाड़ी फेसबुक पर अपनी पीओसी लिपि भेज रहा है, क्योंकि कंपनी ने जवाब नहीं दिया था। प्रकाश ने 850 आंशिक रूप से obfuscated फोन नंबर और संबंधित नाम भी प्रकाशित किए, जिनके बारे में उन्होंने दावा किया कि उन्होंने अपने परीक्षणों के दौरान प्राप्त किए गए आंकड़ों के एक बहुत ही छोटे हिस्से का प्रतिनिधित्व किया।

"यह लगभग एक सप्ताह हो गया है जब से मैंने इसे शुरू करना शुरू किया था और मेरे पास अभी भी नहीं है ब्लॉक को अवरुद्ध कर दिया गया, "प्रकाश ने सोमवार को ईमेल के माध्यम से कहा। "मैंने उन्हें आज भी [फेसबुक] सूचित किया [भारतीय समय) अभी भी कोई जवाब नहीं है।"

फेसबुक ने सोमवार को भेजे गए टिप्पणी के लिए अनुरोध वापस नहीं किया।

एक अन्य शोधकर्ता परीक्षण

प्रकाश के सार्वजनिक प्रकटीकरण के बाद, टायलर बोर्लैंड, नेटवर्क सुरक्षा विक्रेता अलर्ट लॉजिक के साथ एक सुरक्षा शोधकर्ता ने एक और अधिक कुशल स्क्रिप्ट बनाई जो एक ही समय में दस फेसबुक फोन खोज प्रक्रियाओं को चला सकता है। बोर्लैंड की लिपि को "फेसबुक फोन क्रॉलर" कहा जाता है और उपयोगकर्ता द्वारा निर्दिष्ट श्रेणी से फोन नंबरों की खोज कर सकता है।

बोर्लैंड ने सोमवार को ईमेल के माध्यम से कहा, "डिफ़ॉल्ट सेटिंग्स के साथ मैं हर दूसरे फोन नंबर के लिए डेटा सत्यापित करने में सक्षम था।" "वे [फेसबुक] किसी भी तरह की दर सीमित नहीं करते हैं या मैंने अभी तक उस सीमा को नहीं मारा है। फिर, मैंने समय के छोटे अंतराल के भीतर सैकड़ों अनुरोध भेजे और कुछ भी नहीं हुआ।"

बोर्लैंड की लिपि बड़ी संख्या में चल रही है प्रकाश ने कहा कि 100,000 कंप्यूटर-एक हमलावर दिन के मामले में अपने खातों से जुड़े मोबाइल नंबरों के साथ सबसे ज्यादा फेसबुक उपयोगकर्ताओं के फोन नंबर और नाम ढूंढ सकता है।

यह परेशान है कि यह भेद्यता अभी भी खुली है और वहां हैं सोमवार को ईमेल के माध्यम से एंटीवायरस विक्रेता बिटकडेन्डर के एक वरिष्ठ ई-धमकी विश्लेषक बोगदान बोटेजातु ने कहा कि इसका फायदा उठाने के लिए सार्वजनिक उपकरण उपलब्ध हैं। बोटेजातु ने कहा कि बहुत कम उपयोगकर्ता अपनी डिफ़ॉल्ट गोपनीयता सेटिंग्स को बदलते हैं।

यह एक और उदाहरण है कि सुरक्षा तंत्र को खराब तरीके से लागू किया गया है या पूरी तरह गायब होने पर एक महान सुविधा का दुरुपयोग कैसे हो सकता है। "ई-मेल संदेश या ब्लॉग टिप्पणियों के विपरीत, फोन द्वारा उपयोगकर्ता के पास आने से भाला विशिंग [वॉयस फ़िशिंग] हमले में अधिक प्रभावी होता है, अधिकतर क्योंकि कंप्यूटर उपयोगकर्ता इस तथ्य से अवगत नहीं है कि उसका फोन नंबर समाप्त हो सकता है गलत हाथ। उपयोगकर्ताओं के प्रोफाइल में उनकी जानकारी के साथ, एक हमलावर उपयोगकर्ता को किसी भी समय व्यक्तिगत जानकारी देने में विश्वास दिला सकता है। "

वॉयस फ़िशिंग हमले और अन्य प्रकार के फोन घोटाले आम हैं और उनकी सफलता दर पहले से ही अधिक है, बोटेज़तु कहा।

"अब कल्पना करें कि ये क्रुक्स आपको अपने पूरे नाम से संबोधित करते हैं और सीधे आपके [फेसबुक] प्रोफाइल से ली गई जानकारी के साथ अपने विवरणों का बैक अप लेते हैं।" बोटेजातु ने कहा।