Úgy tűnik föl, egy ideig bárki láthatta, hogy kivel beszélgettünk a Facebook Messenger webes üzenetküldőjével. A sérülékenység kihasználáshoz a használót először egy kártékony weboldalra kellett csalni egy megtévesztő üzenet vagy ígéret segítségével.
Ron Masas, az Imperva biztonsági szakembere szerint bizonyos weboldalak eddig le tudták kérdezni, hogy pontosan kivel csevegtünk is a Facebook Messenger üzenetküldőjének segítségével.
A probléma a Messenger üzenetküldő webes verziójánál jelentkezett. Az itt részletezett sérülékenységet a támadók elméletben úgy használhatták ki, hogy egy hívogató linkkel egy kártékony weboldalra csalták a használót. Ha a használó bárhová kattintott a weboldalon (például a videó lejátszásának gombjára), akkor a háttérben nyílt új böngészőablak lekérdezte, hogy kivel csevegett a Messengeren.
A hiba, amely csak a webes Messengert érintette, nem tárta fel az üzenetek tartalmát, csupán azok nevét, akikkel beszélgettünk. Egy vetélytárs vállalat (vagy pusztán féltékeny informatikus) számára azonban ez is hasznos információ.
A sérülékenységet azóta a Facebook megszüntette.
Ron Masas egyébként nem először fedezett fel hibát a népszerű közösségi oldalnál. Az elsők között olyan sérülékenységre bukkant, amelynek felhasználásával engedély nélküli weboldalak is láthatták a Facebook-használók tartózkodási helyeinek archívumát, valamint a kedvelt oldalak listáját.
A Facebook első számú vezetője, Mark Zuckerberg egyébként nemrég jelentette be, hogy a Facebook-családhoz tartozó összes terméket (Facebook, WhatsApp és Instagram) az adatbiztonság, titkosítás és a személyes adatok védelme köré építik újra. A Cambridge Analytica botrányt valahogy felejtetni kell az emberekkel.