Při registraci do sociální sítě očekáváte, že splní své sliby týkající se ochrany soukromí. Pokud například řeknete sociální síti, aby neodhalila vaši e-mailovou adresu žádným dalším členům, očekáváte, že zůstane soukromá.

Bezpečnostní výzkumník však podrobně popsal, jak našel způsob, jak zjistit * jakýkoli * Primární e-mailová adresa uživatele Facebooku, bez ohledu na jeho nastavení ochrany soukromí, využíváním slabosti na sociální síti.

Výzkumník zabezpečení Stephen Sclafani popsal, jak narazil na díru v oblasti ochrany soukromí při procházení několika starými seznamy adresátů. / p>

Jedna ze zpráv, se kterými se setkal, obsahoval e-mail s připomenutím pozvánky na Facebook, který byl zdánlivě zaslán náhodou, když se uživatel dopustil chyby, když následoval radu Facebooku, aby pozval celý svůj seznam kontaktů na sociální síť:

Zajímavá je klikatelná adresa URL ve spodní části zprávy s pozvánkou.

Když Sclafani klikla na odkaz, byl přesměrován na stránku pro přihlášení na Facebook, která je již vyplněna adresou e-mailového seznamu a jménem osoby w odkaz použil k přihlášení k účtu:

Sclafani se na odkaz podrobněji podíval a objevil něco zajímavého :

Odkaz obsahoval dva parametry: „re“ a „mid“:

Změna parametru re neudělala nic; změna částí prostředního parametru však vedla k zobrazení dalších adres. Když se podíváme blíže na parametr, jeho hodnota byla ve skutečnosti řetězec hodnot, kde „G“ funguje jako oddělovač:

59b63a G 5af3107aba69 G 0 G 46

Byla použita pouze druhá hodnota důležité. Hodnota byla ID přidružená k adrese, na kterou byla pozvánka odeslána v hexadecimu. Jako tuto hodnotu lze zadat číselné ID uživatele Facebooku a jeho primární e-mailová adresa. Číselné ID uživatele je považováno za veřejnou informaci a může lze získat ze zdroje jejich profilu nebo prostřednictvím Graph API.

Jinými slovy, pokud jste část parametru „mid“ nahradili parametrem hexadecimální hodnota číselného profilu jiného uživatele Facebooku, zobrazí se jejich primární e-mailová adresa.

ID profilu Facebooku nejsou tajné. Můžete je snadno získat na webech, jako je Find My Facebook ID nebo ve vlastním adresáři profilů Facebooku.

Je skutečně možné představte si, jak by někdo, kdo má zájem získat e-mailovou adresu * každého * * jediného * uživatele Facebooku, mohl napsat skript pro prohledávání adresáře profilu, přeměnit každé ID na hex a poté použít upravenou adresu URL ke konečnému získání každé adresy.

Je snadné si představit, jak by mohla být databáze takových e-mailových adres zneužita.

Naštěstí má Stephen Sclafani určitou etiku. Spíše než se pokusit udělat velký rozruch zveřejněním podrobností o trapné chybě Facebooku, rozhodl se ji zodpovědně zveřejnit sociální síti. Sclafani říká, že Facebook chybu napravil do 24 hodin a odměnil ho 3 500 $ za úsilí vynaložené v rámci jejich programu Bug Bounty.

Facebook je určitě vděčný za to, že jednal tak, jak jednal, a řekl mi:

„Oceňujeme snahu bezpečnostního výzkumníka ohlásit tento problém našemu programu White Hat. Spolupracovali jsme s výzkumným pracovníkem na vyhodnocení rozsahu problému a jeho vyřešení chyba rychle. Nemáme žádné důkazy o tom, že byla zneužita škodlivě. “

„ Výzkumníkovi jsme poskytli odměnu, abychom mu poděkovali za jeho příspěvek k zabezpečení Facebooku. “

Výborně pro Sclafani, že našel chybu a jednal zodpovědně. A – i když by bylo lepší, kdyby mezera v ochraně soukromí tam vůbec nebyla – dobře udělaná Facebooku, který jej po informování tak rychle napravil.

Pokud uvažujete o odchodu z Facebooku , proč si neposlechnout tento podcast „Smashing Security“, který jsme nahráli:

Tento článek je pro vás zajímavý? Sledujte Grahama Cluleyho na Twitteru a přečtěte si více exkluzivního obsahu, který zveřejňujeme.