Facebook-feil hjelper nettfiskere

Om du prøver å logge deg på Facebook med epost-adressen din og et galt passord, eller ingen passord i det hele tatt, får du naturlig nok beskjed om å prøve igjen.

Men man kan også få opp fullt navn og profilbide.

Skriv inn en epost-adresse, ikke noe passord og trykk "Logg inn". Så trykker du enda en gang, og enda en gang, og det kommer opp en Captcha-test. Skriv inn bokstavene, og vips, så får du opp hele navnet og bildet til Facebook-profilen som tilhører epost-adressen.

Dette kan dermed misbrukes av kriminelle som drive nettfiske, advarer sikkerhetseksperter.

Lettere å fiske

Atul Agarwal i Secfence Technologies skriver om feilen på Full Disclosure epost-listen.

- Har man en liste med epostadresser kan man skrive et skript, og det er gode sjanser for at man i 50 prosent av tilfellene får treff på Facebook, skriver mannen som allerede har skrevet et slikt skript selv.

Agarwal påpeker at folk er mye mer mottagelig for nettfiske om man bruker deres fulle navn i eposten som sendes.

Et annet bruksområde er å bruke Facebook til å verifisere epostlister. Nettsamfunnet har nå tross alt har over 500 millioner brukere.

- Resten er opp til den enkeltes fantasi, skriver Agarwal.

Han har ikke rapportert feilen, ettersom han ikke helt vet om den med rette kan kalles en feil.

Koobface-muligheter

- Vi har systemer som skal hindre folks navn og bilde fra å vises på denne måten, men en ny feil hindret disse fra å virke, sier en talsperson for Facebook til vår internasjonale nyhetstjeneste.

Da nyhetstjenesten snakket med Facebook jobbet de med å rette feilen, og torsdag ble det vanskeligere å utnytte. Tidligere kunne man bare trykke én gang på "Logg inn", mens det nå krever tre klikk. Ikke akkurat rettet, med andre ord.

- Jeg vil tro at Koobface-gjengen forsøker å utnytte dette før Facebook fikser det, sier forskningssjef Roger Thompson i AVG.