Når du tilmelder dig et socialt netværk, forventer du, at det holder sit privatlivsløfte. For eksempel, hvis du beder det sociale netværk om ikke at afsløre din e-mail-adresse til andre medlemmer, forventer du, at den forbliver privat.

Men en sikkerhedsforsker har detaljeret, hvordan han fandt en måde at finde ud af * enhver * Facebook-brugerens primære e-mail-adresse, uanset deres privatlivsindstillinger, ved at udnytte en svaghed på det sociale netværk.

Sikkerhedsforsker Stephen Sclafani beskrev, hvordan han snuble over privatlivshullet, mens han vandrede gennem nogle gamle mailinglister.

En af de meddelelser, han stødte på, indeholdt en påmindelses-e-mail fra Facebook, tilsyneladende sendt ved et uheld, da brugeren begik den fejl at følge Facebooks råd om at invitere hele deres kontaktliste til det sociale netværk:

Hvad der er interessant er den klikbare URL i bunden af invitationen.

Når Sclafani klikkede på linket, han blev ført til en Facebook-tilmeldingsside, der allerede var udfyldt med adresselistens adresse og navnet på personen w ho brugte linket til at tilmelde sig en konto:

Sclafani kiggede nærmere på linket og opdagede noget interessant :

Linket indeholdt to parametre: “re” og “mid”:

Ændring af re-parameteren gjorde intet; ændring af dele af midterparameteren resulterede dog i, at andre adresser blev vist. Når vi nærmer os parameteren, var dens værdi faktisk en streng af værdier med “G”, der fungerer som en afgrænser:

59b63a G 5af3107aba69 G 0 G 46

Kun den anden værdi var værdien. Værdien var et id, der var knyttet til den adresse, som invitationen blev sendt til i hex. En Facebook-brugers numeriske id kunne anbringes, da denne værdi og deres primære e-mail-adresse ville blive vist. En brugers numeriske id betragtes som offentlig information og kan fås fra kilden til deres profil eller via Graph API.

Med andre ord, hvis du har erstattet den del af parameteren “mid” med hex-værdi af en anden Facebook-brugeres numeriske profil-id, vil du blive vist deres primære e-mail-adresse.

Facebook-profil-id’er er ikke hemmelige. Du kan nemt få dem via websteder som Find mit Facebook-id eller fra Facebooks egen profilmappe.

Det er faktisk muligt at forestil dig, hvordan en person, der er interesseret i at få fat i e-mail-adressen til * hver * * enkelt * Facebook-bruger, kunne skrive et script til at trawl profilmappen, omdanne hvert id til hex, og derefter bruge den ændrede URL til i sidste ende at scoop hver adresse.

Det er let at forestille sig, hvordan en database med sådanne e-mail-adresser kan blive misbrugt.

Heldigvis har Stephen Sclafani nogle etik. Og i stedet for at forsøge at gøre et stort stænk ved at offentliggøre detaljer om Facebooks pinlige fejl, valgte han at afsløre det ansvarligt til det sociale netværk. Sclafani siger, at Facebook fik rettet fejlen inden for 24 timer og belønnede ham $ 3.500 for hans indsats under deres Bug Bounty-program.

Facebook ser bestemt ud til at være taknemmelige for, at han handlede på den måde, han gjorde, og fortalte mig:

“Vi sætter pris på sikkerhedsforskerens indsats for at rapportere dette problem til vores White Hat-program. Vi arbejdede sammen med forskeren for at evaluere omfanget af problemet og rette dette bug hurtigt. Vi har ingen beviser for, at det blev udnyttet ondsindet. “

” Vi har givet forskeren en bounty til at takke ham for hans bidrag til Facebooks sikkerhed. “

Godt gået til Sclafani for at finde fejlen og handle ansvarligt. Og – skønt det ville have været bedre, hvis privatlivets smuthul ikke havde været der i første omgang – godt klaret til Facebook for at rette det så hurtigt efter at være blevet informeret.

Hvis du overvejer at forlade Facebook , hvorfor ikke lytte til denne “Smashing Security” podcast, som vi har optaget:

Fandt denne artikel interessant? Følg Graham Cluley på Twitter for at læse mere om det eksklusive indhold, vi sender.