用電話號碼搜尋就可以找到你的臉書帳號,記得更改權限或刪除電話吧!

作者 | 發布日期 2015 年 08 月 12 日 16:13 | 分類 Facebook , 資訊安全 follow us in feedly

最近網路行銷公司 Salt Agency 的總監 Reza Moaiandin 無意間發現了臉書 API 的一個設定,可以讓駭客藉由隨機的電話號碼搜尋到臉書的帳號,而這可以讓駭客借此販賣你的資料大賺一筆。




Moaiandin 發現 Facebook 的 GraphQL 連結,包括美國、英國、加拿大等號碼,只要你有將號碼註冊在 Facebook 上,就有可能遭到駭客的入侵。他也借此成功取得了數千名 Facebook 用戶的個人資訊。

Moaiandin 於今年四月就跟臉書表示此問題,而臉書則表示此項設計是「故意的」,同時這個功能也有數量查詢功能的上線,但Moaiandin 並未達到查詢上限所以沒有被封鎖。

Screen-Shot-2015-08-04-at-23.16.11

而根據科技新報直接測試發現,雖然用 API 就可以讓駭客大量取得資料是種危險,但事實上臉書上方的搜尋框,輸入電話號碼就可以成功找到臉書帳號,即使你只有電話號碼而沒有對方的臉書帳號,對方仍然可以在搜尋框輸入你的電話號碼找到你的臉書。

依照目前(20150812)的測試結果來看,如果你將電話的觀看權限設定為「自己」,你的好友仍然可以透過電話號碼搜尋到你的帳號,不過這對一般人來說影響並不大,畢竟你應該不會介意你的臉書好友用電話號碼來搜尋你。

但根據測試,很多人其實並沒有將電話號碼設定為公開,卻還是可以利用電話號碼搜尋到你,在互相不是好友的狀況下,有些人即使將綁定的電話號碼設定為「自己觀看」也仍然可以搜尋到,但有些人設定為「自己觀看」就搜尋不到。

目前尚未清楚這是 bug、還是後面有些我們不了解的演算法機制,但如果你有將電話號碼綁在臉書上的話,可以好好考慮一下要不要刪掉或是修改權限了。

(首圖來源:達志影像) 

發表迴響