Kun kirjaudut sosiaaliseen verkostoon, odotat sen pitävän yksityisyyden lupauksensa. Jos esimerkiksi kehotat sosiaalista verkostoa olemaan paljastamatta sähköpostiosoitettasi muille jäsenille, oletat, että se pysyy yksityisenä.

Mutta tietoturvatutkija on kertonut kuinka hän löysi tavan selvittää * kaikki * Facebook-käyttäjän ensisijainen sähköpostiosoite heidän yksityisyydensuoja-asetuksistaan huolimatta hyödyntämällä sosiaalisen verkoston heikkoutta.

Turvallisuustutkija Stephen Sclafani kuvaili kuinka hän kompastui yksityisyyden aukon läpi kun hän kävi läpi vanhoja postituslistoja. / p>

Yksi hänen tapaamistaan viesteistä sisälsi Facebook-kutsumuistutussähköpostin, joka näennäisesti lähetettiin vahingossa, kun käyttäjä teki virheen seuraamalla Facebookin neuvoja kutsua koko yhteystietoluettelonsa sosiaaliseen verkostoon:

Mielenkiintoista on kutsun viestin alaosassa oleva napsautettava URL-osoite.

Kun Sclafani napsautti linkkiä, hänet vietiin Facebook-ilmoittautumissivulle, joka oli jo täytetty postituslistan osoitteella ja henkilön nimellä w ho käytti linkkiä tilin luomiseen:

Sclafani tarkasteli linkkiä tarkemmin ja löysi jotain mielenkiintoista :

Linkki sisälsi kaksi parametria: ”re” ja ”mid”:

re-parametrin muuttaminen ei tehnyt mitään; keskiparametrin osien vaihtaminen johti kuitenkin siihen, että muut osoitteet näytettiin. Kun parametria tarkasteltiin lähemmin, sen arvo oli oikeastaan merkkijono, jossa ”G” toimi erottimena:

59b63a G 5af3107aba69 G 0 G 46

Vain toinen arvo oli tärkeä. Arvo oli tunnus, joka liitettiin osoitteeseen, johon kutsu lähetettiin heksadesimaalina. Facebook-käyttäjän numeerinen tunnus voidaan laittaa tähän arvoon ja heidän ensisijainen sähköpostiosoitteensa näytetään. Käyttäjän numeerista tunnusta pidetään julkisena tietona ja se voi saa profiilinsa lähteestä tai Graph-sovellusliittymän kautta.

Toisin sanoen, jos olet korvannut kyseisen ”mid” -parametrin osan toisen Facebook-käyttäjän numeerisen profiilitunnuksen hex-arvo, sinulle näytetään heidän ensisijainen sähköpostiosoitteensa.

Facebook-profiilin tunnukset eivät ole salaisia. Voit saada ne helposti sivustojen kautta, kuten Find My Facebook ID tai Facebookin omasta profiilihakemistosta.

On todellakin mahdollista Kuvittele, kuinka jokaisen kiinnostunut nappaamaan * jokaisen * * yksittäisen * Facebook-käyttäjän sähköpostiosoitteen, voisi kirjoittaa komentosarjan troolata profiilihakemistoa, muuttaa jokaisen tunnuksen kuusikulmaksi ja käyttää muokattua URL-osoitetta lopulta kutsuakseen jokaisen osoitteen.

On helppo kuvitella, kuinka tällaisten sähköpostiosoitteiden tietokantaa voitaisiin käyttää väärin.

Onneksi Stephen Sclafanilla on jonkin verran etiikkaa. Ja sen sijaan, että yrittäisi tehdä suurta tilkkaa julkaisemalla yksityiskohtia Facebookin kiusallisesta virheestä, hän päätti paljastaa sen vastuullisesti sosiaaliselle verkostolle. Sclafani sanoo, että Facebook korjasi virheen 24 tunnin sisällä ja palkitsi hänelle 3500 dollaria Bug Bounty -ohjelman puitteissa tehdyistä ponnisteluista.

Facebook näyttää varmasti olevan kiitollinen siitä, että hän toimi samalla tavalla kuin hän teki, kertoen minulle:

”Arvostamme turvallisuustutkijan pyrkimyksiä ilmoittaa asiasta White Hat -ohjelmaamme. Työskentelimme tutkijan kanssa ongelman laajuuden arvioimiseksi ja korjaamiseksi Virhe nopeasti. Meillä ei ole todisteita siitä, että sitä hyödynnettiin vahingollisesti. ”

” Olemme antaneet tutkijalle palkkion kiittääksemme häntä panoksesta Facebookin tietoturvaan. ”

Hyvin tehty Sclafanille vian löytämisestä ja vastuullisesta toiminnasta. Ja – vaikka olisi ollut parempi, jos yksityisyyden porsaanreikä ei olisi ollut siellä – hyvin tehty Facebookille sen korjaamiseksi niin nopeasti ilmoituksen jälkeen.

Jos aiot jättää Facebookin , miksi et kuuntele tätä tallennettua ”Smashing Security” -podcastia:

Piti tätä artikkelia mielenkiintoisena? Seuraa Graham Cluleyä Twitterissä lukeaksesi lisää lähettämästämme yksinoikeudellisesta sisällöstä.