Com um pouco de sorte, você pode obter do Facebook o endereço de e-mail, o nome e a foto de um usuário.
Uma das primeiras coisas que eu aprendi sobre telas de login é que se receber um par inválido de usuário/senha você não deve informar se o erro foi no usuário ou na senha. Caso contrário, você está ajudando um invasor a descobrir nomes de usuários; descoberto um nome ele pode se concentrar em adivinhar a senha.
Aparentemente o pessoal do Facebook não aprendeu ainda esta lição. Pior ainda, quando a senha está incorreta ele mostra o nome e a imagem associadas ao usuário. Como se isto ainda não bastasse, se você entrar com um e-mail que não esteja cadastrado, ele sugere um parecido!
Quem quiser brincar (enquanto não corrigem isto), experimente ir para a tela de login (http://www.facebook.com//login.php), invente um email (por exemplo, um nome comum @ gmail.com), coloque qualquer coisa na senha e veja o que aparece.
Fonte: The Register
Nenhum comentário:
Postar um comentário