Bagaimana jika katakan sekarang Anda dapat memeriksa alamat email pribadi atau tersembunyi pengguna Facebook. Ya, pemburu hadiah bug baru-baru ini menemukan kelemahan keamanan kritis yang memungkinkannya untuk melihat semua alamat email pribadi dari setiap pengguna Facebook.
Peretasan Ini Dapat Mengungkapkan Alamat Email Pribadi Setiap Pengguna Facebook
Baru-baru ini, raksasa media sosial Facebook membayar sejumlah besar hadiah kepada pemburu hadiah bug yang dikenal sebagai Tommy DeVoss. Sebagai pemburu hadiah bug, Tommy DeVoss menemukan kerentanan keamanan kritis yang memungkinkan dia untuk hanya melihat semua alamat email pribadi dari setiap pengguna Facebook.
“Peretasan memungkinkan saya untuk mengumpulkan alamat email sebanyak yang saya inginkan dari siapa pun di Facebook, tidak peduli seberapa pribadi Anda pikir alamat email Anda – saya bisa mengambilnya” kata pemburu hadiah bug, Tommy DeVoss.
Pada ‘Thanksgiving Day’ pemburu hadiah bug, Tommy DeVoss menemukan kelemahan kritis ini, dan kemudian dengan cepat melaporkan kelemahan keamanan tersebut ke raksasa media sosial Facebook melalui program bug bounty-nya.
Namun, raksasa media sosial Facebook mengatakan bahwa mereka pasti akan memberinya $ 5.000 untuk penemuan itu tetapi setelah memverifikasi apa bug yang sebenarnya dan bagaimana itu dieksploitasi dan pada hari Selasa raksasa media sosial Facebook benar-benar melakukannya.
Kerentanan keamanan kritis terkait dengan ‘fitur Grup Facebook’ yang dibuat pengguna yang memungkinkan setiap anggota untuk dengan mudah membentuk grup aliansi di platform raksasa media sosial Facebook.
Pemburu hadiah bug, Tommy DeVoss menemukan bug sebagai administrator Grup Facebook di mana ia dapat mengundang atau mengirim permintaan setiap anggota Facebook untuk memiliki Peran Admin atau moderator melalui sistem Facebook untuk melakukan hal-hal seperti mengedit posting atau menambah anggota baru.
Jadi, undangan tersebut hanya dikelola oleh raksasa media sosial Facebook itu sendiri dan kemudian tidak hanya dikirim ke kotak masuk Pesan Facebook penerima yang diundang, tetapi juga dikirim ke alamat email pengguna Facebook yang terhubung ke akun masing-masing.
Namun, kami telah melihat dalam banyak kasus bahwa pengguna hanya memilih untuk menyembunyikan alamat email utama atau pribadi mereka. Sementara, pemburu hadiah bug, Tommy DeVoss menemukan, terlepas dari pengaturan privasi yang ditetapkan oleh anggota raksasa media sosial Facebook, ia berhasil mendapatkan akses ke alamat email pengguna Facebook mana pun bahkan ia berteman dengan mereka atau tidak, itu juga tidak masalah.
Pemburu hadiah bug, Tommy DeVoss mengatakan bahwa “Sementara Facebook menunggu konfirmasi, pengguna diteruskan ke tab Peran Halaman yang menyertakan tombol untuk membatalkan permintaan”.
Selanjutnya, pemburu hadiah bug, Tommy DeVoss pindah ke tampilan web seluler raksasa media sosial Facebook dari tab Peran Halaman, di mana DeVoss berhasil melihat alamat email lengkap siapa pun yang ingin dia batalkan menjadi Administrator Grup Facebook.
Selain itu, raksasa media sosial Facebook mengatakan bahwa “tidak memiliki bukti bahwa kerentanan itu pernah dieksploitasi” karena mereka menerapkan perbaikan hanya untuk menghentikan bug yang parah agar tidak dieksploitasi atau disalahgunakan.