V zasílání příspěvků do skupin na Facebooku přes e-mail je bezpečnostní díra

Skupina uživatelů objevila bezpečnostní díru v technologii, pomocí které Facebook umožňuje zasílat příspěvky do skupin přes e-mail. Facebook bezpečnostní nedostatek přiznal, zároveň ale dodává, že lepší ověřování mu neumožňuje používaný technologický standard SMTP.

Chyba spočívá v tom, že uživatel, který zasílá příspěvek do skupiny přes e-mail, se může tvářit jako někdo jiný. V případech, kdy odesílatel využívá scripty prováděné na serveru nebo svůj vlastní SMTP server, nemá Facebook kvůli charakteru technologie SMTP dostatečné možnosti, jak uživatele ověřit. Společnost vydala prohlášení, ve kterém nedostatek přiznává, jedním dechem ale dodává, že většinu neověřitelných e-mailů odmítá. V několika specifických případech pak zprávy publikuje, vždy ale s dodatkem, že odesílatel není ověřený.

Zobrazení neověřeného a ověřeného e-mailu ve skupině na Facebooku

Důsledkem chyby může být to, že hacker nebo nějaký vtipálek publikuje příspěvky, které se tváří jako od jiného uživatele – ať už s úmyslem jej poškodit nebo pouze zakrýt stopy vlastní činnosti. Facebook sice zprávy ověřuje pomocí SPF záznamů a DKIM podpisů, výše naznačené postupy ale takové ověření neumožňují.

Tým Facebooku o chybě věděl již předtím, než o ní skupina uživatelů napsala na svém blogu. V reakci na medializaci problému nicméně sociální síť hodlá dále zpřísnit pravidla pro publikování neověřených zpráv a ve více případech než dosud zobrazovat upozornění o neověřenosti odesílatele. Zároveň se snaží získat podporu pro to, aby došlo ke zdokonalení používaných technologických standardů tak, aby do budoucna podobnou díru neobsahovaly.

Via TC, AF

Total
0
Shares
Další články