Facebook-paĝoj fariĝis la plej facila maniero por multaj markoj, produktoj, filmoj, famuloj, ktp, komenci merkatadon en Facebook. Estas jam kelkcent miloj da paĝoj en Facebook kun milionoj da uzantoj entute. Ĉi tiujn paĝojn kutime prizorgis homoj nomataj 'Paĝaj administrantoj', kiuj regule afiŝas ĝisdatigojn en la paĝo.
La profiloj de administrantoj de Facebook-Paĝo kutime estas anonimaj, por protekti sin kontraŭ bombado de komentoj kaj demandoj, ĉu ili estas laŭdoj aŭ raboj anstataŭ la konto mem. Ili publike montriĝas nur se administrantoj elektis prezenti siajn profilojn. Por komercaj aŭ komunumaj paĝoj, kiuj povus havi multajn kunadministrantojn, vi ne atendus, ke Facebook malkaŝos ion pli ol la nomon de la paĝo mem. Tamen estas iuj situacioj, en kiuj vi eble volus kontakti administranton de Facebook-paĝo aŭ ekscii kiu estas la posedanto de Facebook paĝo estas!
Meksika sekureca esploristo ĵus malkovris severan informon pri malkaŝado de informo en Facebook, kiu povus permesi al iu ajn elmontri profilojn de administranto de Facebook-paĝo, kio alie ne supozeble estas publika informo.
Ĉio komenciĝis kiam Facebook lanĉis bonegan funkcion por paĝaj administrantoj celi la spektantaron 'kiu ŝatis la specifan afiŝon de sia paĝo sed ne la paĝon mem' ŝati la paĝon sendante invitojn al uzantoj demandantaj al ili ĉu ili deziras ŝati sian paĝon. Kelkajn tagojn poste, ĉi tiuj interagataj uzantoj povas ricevi aŭtomatan generitan retpoŝton rememorigante al ili la inviton.
Mohamed A. Baset, la fondinto de cibersekureca firmao Seekurity, ricevis unu tian retpoŝtan inviton, petante lin ŝati Facebook-paĝon, sur kiu li antaŭe ŝatis afiŝon. Rigardante la fontkodon de la retpoŝto, la esploristo rimarkis, ke ĝi inkluzivas la nomon de la administranto de la paĝo kaj aliajn detalojn.
La esploristo tiam tuj raportis la aferon al la Sekureca Teamo de Facebook pere de sia programo Bugrowd-cimo-premio. La kompanio agnoskis la cimon kaj donis al li 2,500 XNUMX dolarojn pro siaj trovoj.
Baset en sia blog asertas esti malkovrinta la cimon ene de kelkaj minutoj post ricevo de invito (t.e. en nur 2'18 ”) sen ia testado aŭ pruvo de konceptoj, aŭ iu ajn alia speco de tempopostulaj procezoj.
Baset priskribis la cimon kiel "Logika eraro" en aŭtomate generita retpoŝto sendita nome de Facebook-paĝo. Tamen Facebook nun flikis ĉi tiun vundeblecon de malkaŝa informo, kiu elmontris paĝajn administrantojn.
En deklaro, Facebook agnoskis, ke estas problemo, sed asertis, ke la cimo estis flikita.
"Ni povis kontroli, ke sub iuj cirkonstancoj paĝaj invitoj senditaj al neamikoj malkaŝe malkaŝos la nomon de la paĝa administranto, kiu sendis ilin. Ni traktis la radikan kaŭzon ĉi tie, kaj estontaj retpoŝtoj ne enhavos tiujn informojn. "
Kvankam Facebook nun flikis ĉi tiun informan malkaŝan numeron, homoj, kiuj jam ricevis unu tian paĝan inviton, tamen povas ekscii administrantajn detalojn de la retpoŝtaj invitiloj.
