Facebook Bug kan ge spammare namn, foton

Facebook är scrambling för att fixa en bugg på sin webbplats som kan missbrukas av spammare för att skörda användarnamn och fotografier.

Det visar sig att om någon skriver in en e-postadress till en Facebook-användare tillsammans med fel lösenord returnerar Facebook en speciell "Vänligen skriv in ditt lösenord" -sida, som inkluderar Facebook-fotot och fullständigt namn på den person som är associerad med adressen.

Funktionen hjälper människor att förstå om de har mistypat sin e-postadress vid inloggningen, men det kunde missbrukas av spammare för att få information om Facebook: s 500 miljoner användare.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

En spammar med en e-postlista kan skriva ett skript som kommer in i e-postmeddelandet adresserar till Facebook och loggar sedan på de riktiga namnen. Detta kan bidra till att en phishing-attack blir mer realistisk, säger Atul Agarwal, forskaren som skrev en anteckning om problemet (tillsammans med ett provskript som kan skörda namn) till mailinglistan Fullständig upplysning på tisdag.

Någon kunde också använda funktionen att generera slumpmässiga e-postadresser och kontrollera om de verkligen fungerade, sa Agarwal.

Inloggningssidan visar bilder av personer, även om de har rätt inställt sina personliga inställningar för att hålla denna information privat, sade Agarwal. "Skörda dessa data är väldigt enkelt," sa han.

Facebook påskalade problemet på en nyligen introducerad bugg.

"Vi har tekniska system på plats för att förhindra att folks namn och foton visas mot orelaterade användare vid inloggningen, men en nyligen introducerad bugg hindrade tillfälligt dessa från att fungera som avsedda, säger en företags talesman i ett e-postmeddelande. "Vi arbetar redan med en lösning och förväntar oss att snabbt åtgärda situationen."

Skrap Facebook för denna typ av information är förbjuden, tillade hon.

Scammare har haft ett särskilt intresse för Facebook de senaste åren, och brottslingar som de som skrev Koobface-masken kan väl intressera sig för felet, säger Roger Thompson, chefforskare med antivirusleverantör AVG.

"Jag förväntar mig att Koobface-gänget kommer att tävla för att försöka ta fördel med detta innan Facebook lappar det, "sa han via snabbmeddelande. "Det blir intressant att se vem som vinner."

Robert McMillan täcker datasäkerhet och allmänt tekniskt brytande nyheter för IDG News Service. Följ Robert på Twitter på @bobmcmillan. Roberts e-postadress är [email protected]