记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Meta 打击南亚滥用 Facebook 的网络攻击活动

Facebook母公司Meta披露,它对南亚的两个攻击组织采取了反制行动,这两个组织都是利用其社交媒体平台向潜在目标分发恶意软件。 Bitter APT 第一组组织的行动在Meta的描述中是呈现持续和资源丰富的特征,是由一个以Bitter APT(又名APT-C-08或T-APT-17)为名追踪的黑客组织进行,目标是新西兰、印度、巴基斯坦和英国的个人。 Meta公司在其《季度对抗性威胁报告》中称Bitter使用各种恶意战术在网上攻击人们,用恶意软件感染他们的设备。该组织混合使用链接缩短服务、恶意域名、被破坏的网站和第三方托管提供商等诸多方式来分发他们的恶意软件。
发布时间:2022-08-09 17:00 | 阅读:50321 | 评论:0 | 标签:安全快讯 网络攻击 Facebook Meta 攻击 网络

实战 | 我是如何在Instagram中发现一个严重漏洞并从Facebook 获得49500美元赏金

大家好,我是来自印度的 20 岁的安全爱好者 Neeraj Sharma。 Facebook Reels 是一种短视频。您也可以观看创作者选择在Facebook 上推荐的Instagram 公开Reels。 Reels 是基于可能与您相关的内容进行推荐的,可能会在动态和Facebook Watch 等位置显示 描述 利用此漏洞,攻击者可以通过知道该用户的 clips_media_id(Media ID)来更改任何 Instagram 用户的reels缩略图。
发布时间:2022-06-23 18:32 | 阅读:35023 | 评论:0 | 标签:CIA Facebook Facebook Reels HTTP 请求 reels 漏洞

大规模 Facebook 网络钓鱼活动,预计产生数百万美元收益

据 Bleeping Computer 网站披露,研究人员发现了一项大规模网络钓鱼活动。攻击者滥用 Facebook 和 Messenger 引诱数百万用户访问网络钓鱼页面,诱骗用户输入帐户凭据。 经研究人员分析,钓鱼活动背后的操作者可以利用这些被盗账户,向用户的朋友进一步发送钓鱼信息,通过在线广告佣金获得了大量收入。 根据一家专注于人工智能的网络安全公司 PIXM 称,钓鱼活动至少从 2021年 9 月就开始活跃,在 2022 年 4 月至 5 月达到顶峰。
发布时间:2022-06-09 15:49 | 阅读:44766 | 评论:0 | 标签:网络安全 Facebook 网络钓鱼 钓鱼 网络

泄露的 Facebook 工程师文件承认违法使用用户数据 或将面临全球收入 4% 的罚款

Facebook正面临一场世界各地隐私法规“海啸”,这将迫使该公司大幅改变处理用户个人数据的方式。根据外媒获得的一份从Facebook泄露的文件,Facebook这场“劫难”的根源在于,他们自己都搞不清楚用户数据的用途和去向。 这份泄露的文件是由Facebook广告和商业产品团队的隐私工程师去年撰写的,该团队的任务是“在人与企业之间建立有意义的联系”,根据最近一份Facebook工作清单上对该团队的描述,该团队“处于Facebook货币化战略的中心,是推动公司发展的引擎”。 这个团队的任务是建立和维护Facebook庞大的广告系统,这是该公司业务的核心。
发布时间:2022-04-29 17:58 | 阅读:36299 | 评论:0 | 标签:安全快讯 Facebook 用户数据 泄露

Facebook 因算法漏洞连推糟糕内容 一直持续半年

Facebook动态消息(News Feed)因为存在重大排序错误,过去6个月一直推送“糟糕”内容。由于排序算法存在漏洞,动态消息抬高了虚假、暴力信息的权重。去年10月,工程师发现推送有问题,当时动态消息中的虚假信息明显增多。 虚假信息本来是经过事实核查员审查过的,应该早早得到抑制,但这些信息却四处传播。工程师找不到根本原因,只能眼睁睁看着虚假信息持续发酵,几个星期后平息,然后复发,最终工程师才发现是排序有问题,并于3月11日修复。 内部文档显示,该技术问题最早可追溯到2019年,但直到2021年10月才造成重大影响。
发布时间:2022-04-01 12:32 | 阅读:73783 | 评论:0 | 标签:漏洞 Facebook 算法漏洞

实战 | 记一次价值27500美金的Facebook漏洞挖掘记录

描述: 在 Workplace 中,管理员可以选择激活一个名为“自我邀请”的选项,该选项允许任何人在没有管理员验证的电子邮件地址的情况下进入。 信息:https://www.workplace.com/help/work/336227380906523 虽然,服务器没有正确验证注册时使用的电子邮件,允许通过未经管理员验证的电子邮件创建帐户。 这可能允许恶意用户访问公司的 Workplace 环境。但是,这只有在公司启用了自我邀请功能的情况下才有可能。 漏洞挖掘细节: 通过分析“Workplace from Facebook”Android 应用程序上的网络流量,我能够找到这个问题。
发布时间:2022-02-17 14:12 | 阅读:57109 | 评论:0 | 标签:漏洞复现 Android Facebook Facebook漏洞 Workplace Workplace from Fa

Signal 创始人:Telegram 并不安全,甚至还不如 Facebook

Telegram已经赢得了越来越多的声誉,并且正如一些人可能认为的那样,成为了WhatsApp或Messenger的更安全的替代品–跟Signal应用一样的东西。然而,Telegram在提供额外网络安全方面的声誉被过分夸大了–这是Signal创始人Moxie Marlinspike在本周强调的东西。 更新:来自Telegram方面的回应 更新: Telegram方面回应称,Signal创始人的说法是错误的,Telegram 上发送的所有消息都经过安全加密,Telegram 云中保存的内容也经过加密。
发布时间:2021-12-27 12:27 | 阅读:85494 | 评论:0 | 标签:网络安全 Facebook Telegram 安全

Facebook宣布将停用人脸识别技术

日前,Facebook宣布将不再在其平台上部署面部识别技术,该技术包括有争议的DeepFace算法,用于识别上传照片中的人物以进行标记。令隐私倡导者和面部识别系统批评者高兴的是,Facebook表示还将删除超过10亿人的面部模板。但该社交网络的母公司Meta表示该承诺不适用于其Metaverse(元宇宙)产品。据Recode报道,虽然Facebook不再使用面部识别软件,但Meta澄清说,该限制并未涵盖 Metaverse产品,Meta将继续使用各种生物识别工具用于Metaverse。
发布时间:2021-11-11 14:05 | 阅读:49867 | 评论:0 | 标签:facebook 人脸识别技术 人脸

研究发现 FlyTrap 恶意软件破坏了数千个 Facebook 账户

安全研究人员发现,自2021年3月以来,一个代号为FlyTrap的新安卓木马已经袭击了至少140个国家,并通过社交媒体劫持、第三方应用商店和侧载应用程序传播给超过10000多名受害者。 Zimperium的zLabs移动威胁研究团队最近使用Zimperium的z9恶意软件引擎和设备上的检测,发现了以前没有被检测到的恶意软件。经过他们的取证调查,zLabs团队确定这个以前未被检测到的恶意软件是一个木马家族的一部分,它采用社会工程的技巧来破坏Facebook账户。 这个活跃的Android木马攻击已经命名为FlyTrap,安全研究人员指出自2021年3月以来,来自越南的黑客团队在运营这个木马活动。
发布时间:2021-08-12 14:37 | 阅读:63102 | 评论:0 | 标签:恶意软件 木马 Facebook

研究人员发现庞大的 Facebook 机器人农场 发布了超过 20 万个误导性帖子

一群安全研究人员声称偶然发现了一个大规模机器人农场,旨在2020年总统选举期间和新冠疫情期间影响Facebook上的公众舆论。据英国网络安全公司Comparitech的Paul Bischoff称,该网络包括13775个独特的Facebook账户,每个账户每月发帖约15次,导致每周产出超过5万个帖子。 据介绍,这些账户似乎被用于政治操纵,其中一半的帖子与政治话题有关,另外17%与COVID-19疫情有关。每个账户都有一张个人照片和一个好友名单,研究人员认为该名单主要是由其他机器人组成的。所有人都加入了特定的Facebook群组,他们的帖子更有可能被合法的真人用户看到和讨论。
发布时间:2021-05-12 15:03 | 阅读:110188 | 评论:0 | 标签:安全快讯 Facebook 机器人

Facebook 被爆新漏洞:可收集用户的电子邮件信息

本月早些时候,有人在黑客论坛上放出了一个拥有 5.3 亿 Facebook 用户个人信息的数据集。随后该公司承认存在本次数据泄漏,但表示不会通知在该漏洞中受到影响的用户。 虽然 Facebook 表示已经修复了之前允许黑客从该社交平台上刮取数据的漏洞,不过一名安全研究人员发现了另一个漏洞。该漏洞允许黑客从 Facebook 上刮取电子邮件地址。 在与 Motherboard 分享的一段视频中,该人士指出 如果用户将其隐私设置为“Only Me”以外的其他选项,那么用于利用该漏洞的工具就可以刮取电子邮件地址。此外,该人士还指出,该漏洞已经被报告给了 Facebook,但他们并没有修复。
发布时间:2021-04-22 19:13 | 阅读:96492 | 评论:0 | 标签:漏洞事件 Facebook 收集信息 漏洞

内部邮件显示 Facebook 意图将数据泄露事件合理化

一封由Facebook意外泄露给记者的内部邮件显示,该公司有意将最近发生的一起数据泄露事件定为 “正常化 “和 “广泛的行业问题”。脸书最近一直处于数据泄露争议的中心。本月早些时候,Hudson Rock的研究人员透露,属于大约5.33亿Facebook用户的信息被发布到网上,包括电话号码、Facebook ID、全名和出生日期。 这家社交媒体巨头证实了这些 “旧 “数据的泄露,这些数据是在2019年收集的。该平台存在一个功能问题,现在已经修复。
发布时间:2021-04-21 19:34 | 阅读:140652 | 评论:0 | 标签:国际动态 数据泄露 Facebook 泄露

FB 数据泄露事件受害者分享该平台如何收集他的数据

据外媒BGR报道,大学生Zamaan Qureshi在社交媒体上为自称 “真正的Facebook监督委员会”的临时活动家组织工作,他被几天前Facebook大规模数据泄露的消息所震惊,决定进行一番调查。 首先,他在 “Have I Been Pwned “网站上查找自己,该网站很好地快速收集了被卷入最近的数据泄露事件中的Facebook用户的数据,以便他们检查并查看自己是否受到影响。
发布时间:2021-04-13 11:39 | 阅读:134553 | 评论:0 | 标签:数据泄露 Facebook 泄露

Facebook 的 Pages 漏洞让全球政客们可以伪造民众支持率以攻击对手

世界各地的政府和政客正在利用Facebook如何对不真实活动进行监管的漏洞,伪造民众支持率以骚扰对手。来自《卫报》的调查基于内部文件和前Facebook数据科学家Sophie Zhang的证词,显示了该公司如何选择性地选择对这种活动采取行动。 Facebook迅速采取行动,处理美国、韩国等富裕国家和地区为左右政治而开展的协调活动,而对阿富汗、伊拉克、墨西哥和拉丁美洲大部分地区等较贫穷国家的类似活动的报道却不重视或干脆置之不理。
发布时间:2021-04-13 11:39 | 阅读:109211 | 评论:0 | 标签:漏洞事件 Facebook 支持率 政客 漏洞 攻击

黑客论坛公开超 5 亿条 Facebook 数据

一个黑客论坛公布了超过5亿Facebook用户的个人数据缓存,这是迄今为止该社交网络在数据保护方面的最大失误之一。该数据库包含了全球数亿Facebook用户的个人数据,这些数据在本周六被发现,有可能被用于各种犯罪,包括其他黑客和社交工程。 网络犯罪研究公司Hudson Rock首席技术官Alon Gal建议,这些数据包括用户的全名,以及Facebook ID、地点、出生日期、个人简历、电话号码和电子邮件地址。安全人员将缓存中的部分数据与Facebook的密码重置功能进行对比验证,发现数据是真实的。 数据中列出了超过5.33亿用户,覆盖106个国家。
发布时间:2021-04-06 11:19 | 阅读:242831 | 评论:0 | 标签:安全快讯 数据泄露 Facebook 黑客

Facebook 为隐私官司支付 6.5 亿美元和解金

一名法官已经批准了Facebook价值6.5亿美元的和解协议,以结束一场隐私诉讼,该诉讼指控该社交网络未经许可就在其iPhone应用上存储的用户照片上使用面部识别技术。这起始于2015年4月的诉讼指控Facebook没有获得用户同意在他们的照片上使用其面部标签功能。 官司起初由芝加哥律师Jay Edelson代表原告Carlo Licata提起,诉状称伊利诺伊州的隐私法不允许使用未经同意的标签功能。 据《芝加哥论坛报》报道,此案起源于库克县巡回法院,然后转到芝加哥联邦法院再到加州。诉讼到达加州后,该诉讼获得了集体诉讼地位。
发布时间:2021-03-01 16:25 | 阅读:158560 | 评论:0 | 标签:安全快讯 Facebook 网络安全

Facebook 将在 2021 年提供新的账户安全选项

Facebook安全政策负责人Nathaniel Gleicher告诉Axios,Facebook明年计划为那些想要采取额外措施保护自己账户的用户提供安全密钥的移动端支持。Facebook明年还将把Facebook Protect安全计划扩展到更多类型的账户。该计划将提供给记者、人权维护者和名人等弱势用户,也将提供给所在国即将举行重大选举的用户。 Facebook Protect包括额外的安全功能,比如双因素认证和对潜在黑客威胁的实时监控。到目前为止,它只在美国向政治家、政党官员、政府机构、选举工作人员以及任何拥有蓝色认证标志的Facebook页面、参与选举过程的人提供。
发布时间:2020-12-23 11:07 | 阅读:163402 | 评论:0 | 标签:网络安全 Facebook 安全更新 安全

苹果隐私标签打脸 Facebook :收集信息超级多

据报道,本周早些时候苹果更新App Store,里面开始显示App收集的用户数据类型。其中,Facebook收集的信息格外引人关注。App Store标签显示Facebook收集多种用户数据,光是标签长度就有好几页。在过去5年里,苹果与Facebook的冲突越来越严重,因为它们有着不同的业务模式。 苹果是一家硬件公司,靠销售硬件赚钱。最近几年苹果越来越重视隐私,这使得一些公司收集用户数据越来越困难,重视隐私也成为了苹果产品的一大竞争优势。 Facebook不一样,它靠广告赚钱,只有获得用户信息才能帮广告主发送定向广告。Facebook指责苹果大打隐私牌实际是为了追求利润。
发布时间:2020-12-17 11:16 | 阅读:86361 | 评论:0 | 标签:安全快讯 网络安全 Facebook 苹果

澳大利亚监管部门指控 Facebook 数据保护应用误导用户

据报道,澳大利亚公平竞争和消费者委员会(ACCC)本周在澳大利亚联邦法院起诉Facebook及其两家子公司。ACCC认为,被告方在向澳大利亚用户推广Facebook Onavo Protect移动应用时,存在虚假、误导或欺诈行为。 Onvao Protect是一款免费下载的应用,提供VPN服务。ACCC指控称,从2016年2月1日到2017年10月,Facebook及其子公司Facebook以色列有限公司和Onavo公司宣称Onavo Protect应用能确保用户的个人活动数据是私密的、受保护的以及安全的,而除了提供Onavo Protect的产品之外,数据不会被用于任何其他目的。
发布时间:2020-12-17 11:16 | 阅读:134076 | 评论:0 | 标签:安全快讯 Facebook 信息泄露 网络安全

Facebook 将让英国用户接受加州用户协议 以摆脱欧洲隐私法规的影响

据路透社报道,Facebook公司将让其在英国的所有用户接受加州的用户协议,使他们脱离目前与Facebook爱尔兰部门的关系,并摆脱欧洲隐私法的影响。这一变化在明年生效,此前谷歌在2月份也在此宣布了类似的举措。对于这些公司和其他欧洲总部在都柏林的公司来说,英国脱欧将改变其与仍在欧盟的爱尔兰的法律关系。 最初,知情人士向路透社透露了这一举措。Facebook随后证实了这一点。 “与其他公司一样,Facebook也不得不做出改变以应对英国脱欧,将把英国用户的法律责任和义务从Facebook爱尔兰转移到Facebook公司。
发布时间:2020-12-17 11:16 | 阅读:148799 | 评论:0 | 标签:安全快讯 热点 Facebook 网络安全

FTC 对多家大型科技公司展开大范围安全调查

据外媒Axios了解,美国联邦贸易委员会(FTC)将于当地时间周一宣布,将对包括亚马逊、TikTok所有者字节跳动、Twitter、YouTube和Facebook以及其子公司WhatsApp在内的大型科技公司的隐私和数据收集行为展开新的调查。 此举正值该行业受到更广泛的审查之际,它似乎是一项广泛的调查,目的是调查大型科技公司对用户的所有了解以及它们如何利用这些数据和它们更广泛的商业计划。 FTC要求从上述平台获取大量信息和文件,另外Discord、Reddit和Snap也都在调查范围内。
发布时间:2020-12-15 12:52 | 阅读:149449 | 评论:0 | 标签:安全快讯 Facebook Twitter 网络安全 安全

Facebook 封禁了疑似与 APT32 组织有关联的越南 CyberOne 账号

在周四的一份公告中,Facebook 安全团队出人意料地透露了 APT32 组织的真实身份。作为近年来最为活跃的黑客组织之一,有消息称其与越南方面有说不清道不明的关系。不过在被发现利用社交平台传播恶意软件并试图感染用户之后,Facebook 已经果断地封禁了与 APT32 有关联的账户 —— 所谓的“CyberOne Security”。 Facebook 安全策略主管 Nathaniel Gleicher 与网络威胁情报主管 Mike Dvilyanski 表示,他们调查到了这些活动与越南 IT 企业 CyberOne Group 有关联。
发布时间:2020-12-11 18:39 | 阅读:131444 | 评论:0 | 标签:黑客事件 Facebook 黑客 apt

Facebook Messenger 漏洞让黑客可以监听电话信息

Facebook在Android Messenger应用程序中修复了一个漏洞,该漏洞可能使远程攻击者呼叫没有防备的用户,并在他们接听前监听它们的声音。 10月6日,Google零项目漏洞调查团队的Natalie Silvanovich将该漏洞发现并报告给Facebook,此漏洞影响到Android Messenger的284.0.0.16.11919版本(以及更早版本)。 简而言之,该漏洞可能会使登录应用程序的攻击者同时发起呼叫,并向同时登录应用程序和其他Messenger客户端(如web浏览器)的目标发送精心编制的消息。
发布时间:2020-11-23 15:09 | 阅读:160996 | 评论:0 | 标签:漏洞 Facebook 黑客

Facebook 称伊朗黑客散布虚假信息,干扰美国选举

据报道,Facebook周二表示,伊朗黑客上周涉嫌通过电子邮件向美国选民发送威胁消息,并散布有关选举制度受到破坏的虚假信息,并在去年针对中东进行了一场虚假宣传活动。 上周,美国官员指责伊朗发送了数千封威胁性电子邮件和一个网上视频,该视频显示黑客在美国总统大选前几天就闯入了选民登记系统。 德黑兰否认了指控。 Facebook表示已暂停了一个试图在其网站分享该视频的假冒帐户。该账户引出了在Facebook和Instagram上的20多个其他账户,揭示出2019年针对以色列和沙特阿拉伯等国的散布虚假信息行动。
发布时间:2020-10-28 10:25 | 阅读:141290 | 评论:0 | 标签:黑客事件 Facebook 美国 黑客

Facebook 移除多个虚假账户 担忧大选期间黑客攻击

据报道,Facebook公司周四向外界表示,它已经移除了三个虚假账户网络,因为俄罗斯情报部门可能利用这些账户来泄露遭黑客入侵的文件,扰乱即将到来的美国大选。该公司表示,这些账户因使用假身份和其他类型的“协同不真实行为”而被暂停使用。这些账户与俄罗斯情报部门和位于圣彼得堡的一个组织有关。美国官员曾指责该组织试图影响2016年的总统选举。 俄罗斯外交部目前尚未回应置评请求。此前,俄罗斯已一再否认试图干预美国大选,并表示不会干涉其他国家的内政。
发布时间:2020-09-25 11:41 | 阅读:80979 | 评论:0 | 标签:黑客事件 Facebook 黑客 攻击

爱尔兰要求 Facebook 停止向美国传送欧洲用户数据

据外媒报道,爱尔兰数据保护委员会(DPC)要求Facebook停止将用户数据从欧盟转移到美国。《华尔街日报》周三报道称,初步命令已于8月底发出。Facebook证实,爱尔兰DPC已经开始调查其从欧盟向美国传输的数据。这是欧盟公司和居民主要关心的隐私问题。 欧盟法院的决定使得允许企业将欧盟公民数据发送到美国的欧盟-美国隐私盾牌(EU-US Privacy Shield)这一行为失效。Facebook负责全球事务和通信的副总裁Nick Clegg表示,在做出这一决定后,Facebook一直有在阐明他们在如何确保国际数据传输的长期稳定方面的立场。
发布时间:2020-09-10 16:24 | 阅读:108714 | 评论:0 | 标签:Facebook 爱尔兰 美国

挖洞经验 | Facebook接口存在的三个信息泄露漏洞

本篇Writeup分享的是作者在测试Facebook接口时,发现的三个信息泄露漏洞,可获取任意Facebook应用的管理员账号、开发者联系人邮箱、商务用户账号ID。 获取任意Facebook应用(Facebook application)的管理员账号 在Facebook企业管理平台(BusinessManager)中,可以通过一个接口去获取其它企业的不同网页、应用和相关系统资产的管理员用户列表。 漏洞原因在于,该接口存在IDOR越权漏洞,未对其做权限限制,导致可以通过其获取任意Facebook商务应用的管理员账号。
发布时间:2020-03-03 15:01 | 阅读:140803 | 评论:0 | 标签:WEB安全 漏洞 facebook 管理员 越权漏洞 泄露

如何扩展Facebook上的静态分析(下)

(接上文)人为因素第一个部署是批量部署,而不是连续部署。在这种模式下,Infer每晚将在整个Facebook Android代码库上运行一次,然后生成一个漏洞列表。之后,分析人员会手动查看这些漏洞,并将它们分配给对应的专业人员予以解决。但在实际测试中,这个解决漏洞的流程却问题多多。当我们给开发人员分配了20-30个漏洞,但是没有一个被得到解决。我们一直在努力将误报率降低到我们认为低于20%的水平,但是修复率,即开发人员解决的所报告的漏洞比例却是零。接下来,我们在diff时间打开Infer。同样,工程师们的反应同样令人震惊:修复率飙升至70%以上。
发布时间:2019-08-17 13:10 | 阅读:157325 | 评论:0 | 标签:技术 Facebook

如何扩展Facebook上的静态分析(上)

程序静态分析(Program Static Analysis)是指在不运行代码的方式下,通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。目前静态分析技术向模拟执行的技术发展以能够发现更多传统意义上动态测试才能发现的缺陷,例如符号执行、抽象解释、值依赖分析等等并采用数学约束求解工具进行路径约减或者可达性分析以减少误报增加效率。目前的静态分析工具,无论从科研角度还是实用性角度还有很大的提高余地,国际最好分析工具误报率在5-10%之间。
发布时间:2019-08-13 12:25 | 阅读:204780 | 评论:0 | 标签:技术 Facebook

来自安全研究员的报复——Facebook WordPress插件漏洞被曝光

一位研究WordPress的安全人员称自己发现了由Facebook开发两个WordPress插件,WooCommerce和Messenger Customer Chat,都存在能够伪造跨站点请求的缺陷。这个研究人员在Plugin Vulnerabilities网站上发布了这些漏洞,但并没有提前通知供应商,以此作为对“WordPress支持论坛”(WordPress Support Foru)版主的抗议。这两款由Facebook开发的插件使用非常广泛。
发布时间:2019-06-23 12:25 | 阅读:153822 | 评论:0 | 标签:漏洞 Facebook

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁