最近网络行销公司 Salt Agency 的总监 Reza Moaiandin 无意间发现了脸书 API 的一个设定,可以让骇客借由随机的电话号码搜寻到脸书的账号,而这可以让骇客借此贩卖你的资料大赚一笔。
Moaiandin 发现 Facebook 的 GraphQL 连结,包括美国、英国、加拿大等号码,只要你有将号码注册在 Facebook 上,就有可能遭到骇客的入侵。他也借此成功取得了数千名 Facebook 用户的个人资讯。
Moaiandin 于今年四月就跟脸书表示此问题,而脸书则表示此项设计是“故意的”,同时这个功能也有数量查询功能的上线,但Moaiandin 并未达到查询上限所以没有被封锁。
而根据科技新报直接测试发现,虽然用 API 就可以让骇客大量取得资料是种危险,但事实上脸书上方的搜寻框,输入电话号码就可以成功找到脸书账号,即使你只有电话号码而没有对方的脸书账号,对方仍然可以在搜寻框输入你的电话号码找到你的脸书。
依照目前(20150812)的测试结果来看,如果你将电话的观看权限设定为“自己”,你的好友仍然可以透过电话号码搜寻到你的账号,不过这对一般人来说影响并不大,毕竟你应该不会介意你的脸书好友用电话号码来搜寻你。
但根据测试,很多人其实并没有将电话号码设定为公开,却还是可以利用电话号码搜寻到你,在互相不是好友的状况下,有些人即使将绑定的电话号码设定为“自己观看”也仍然可以搜寻到,但有些人设定为“自己观看”就搜寻不到。
目前尚未清楚这是 bug、还是后面有些我们不了解的算法机制,但如果你有将电话号码绑在脸书上的话,可以好好考虑一下要不要删掉或是修改权限了。
- Facebook: Please fix this security loophole before it’s too late
(首图来源:达志影像)
