Amikor regisztrál egy közösségi hálózatra, elvárja, hogy betartsa az adatvédelmi ígéreteit. Például, ha azt mondja a közösségi hálózatnak, hogy ne fedje fel az e-mail címét más tagok előtt, akkor arra számít, hogy az privát marad.

De egy biztonsági kutató részletesen leírta, hogyan találta meg a módját * * A Facebook felhasználó elsődleges e-mail címe, függetlenül az adatvédelmi beállításaitól, a közösségi hálózat egyik gyengeségének kihasználásával.

Stephen Sclafani biztonsági kutató leírta, hogyan botlott át az adatvédelmi lyukon, miközben néhány régi levelezőlistán átlapolta.

Az egyik üzenet, amelyre bukkant, tartalmazott egy Facebook meghívó emlékeztető e-mailt, amelyet látszólag véletlenül küldtek, amikor a felhasználó hibát követett a Facebook azon tanácsával, hogy meghívta a teljes névjegyzéküket a közösségi hálózatba:

Az érdekes a meghívó üzenet alján található kattintható URL.

Amikor Sclafani rákattint a linkre, egy Facebook regisztrációs oldalra vitték, amely már kitöltötte a levelezőlista címét és a w személy nevét ho a linket használta a regisztrációhoz:

Sclafani alaposabban megnézte a linket, és valami érdekeset fedezett fel :

A link két paramétert tartalmazott: “re” és “mid”:

A re paraméter megváltoztatása nem tett semmit; a középparaméter egyes részeinek megváltoztatása azonban más címek megjelenítését eredményezte. Közelebb véve a paramétert, az értéke tulajdonképpen egy értéksor volt, és a “G” elválasztóként működött:

59b63a G 5af3107aba69 G 0 G 46

Csak a második érték volt fontos. Az érték egy azonosító volt ahhoz a címhez társítva, amelyre a meghívót hexadecimálisan elküldtük. Egy Facebook-felhasználó numerikus azonosítóját fel lehet venni, mivel ez az érték és megjelenik az elsődleges e-mail címük. A felhasználó numerikus azonosítója nyilvános információnak tekinthető, és a profiljuk forrásából vagy a Graph API-n keresztül szerezhető be.

Más szavakkal, ha a “mid” paraméter azon részét a Ha egy másik Facebook-felhasználó numerikus profilazonosítója hexadecimális értéket mutat, akkor az elsődleges e-mail cím jelenik meg.

A Facebook-profil azonosítói nem titkosak. Könnyen megszerezheti őket olyan webhelyeken keresztül, mint a Find My Facebook ID vagy a Facebook saját profilkönyvtárából.

Valóban lehetséges képzelje el, hogyan írhatna szkriptet a * minden * * egyetlen * Facebook-felhasználó e-mail címének megragadása iránt a profilkönyvtár vonóhálójába, minden azonosítót hexává változtatva, majd a módosított URL segítségével végső soron összegyűjtheti az egyes címeket.

Könnyű elképzelni, hogyan lehetne visszaélni az ilyen e-mail címek adatbázisával.

Szerencsére Stephen Sclafani rendelkezik némi etikával. És ahelyett, hogy megpróbálna nagy feltűnést kelteni a Facebook kínos hibájának részleteinek közzétételével, úgy döntött, hogy felelősségteljesen közli a közösségi hálózattal. Sclafani szerint a Facebook 24 órán belül kijavította a hibát, és 3500 dollárt jutalmazott neki a Bug Bounty program keretében végzett erőfeszítéseiért.

Úgy tűnik, hogy a Facebook hálás, hogy a maga módján cselekedett, és azt mondta nekem:

“Nagyra értékeljük a biztonsági kutató azon erőfeszítéseit, hogy jelentse ezt a problémát a White Hat programunknak. A kutatóval együttműködve értékeltük a probléma terjedelmét és elhárítottuk ezt gyors hiba. Nincs bizonyítékunk arra, hogy rosszindulatúan használták volna ki. ”

” Jutalmat biztosítottunk a kutatónak, hogy megköszönjük a Facebook biztonságához való hozzájárulását. “

Jól tett Sclafani a hiba megtalálásáért és a felelősségteljes fellépésért. És – bár jobb lett volna, ha az adatvédelmi kiskapu eleve nem lett volna ott – jól sikerült a Facebooknak, hogy a tájékoztatás után ilyen gyorsan kijavította.

Ha arra gondol, hogy elhagyja a Facebookot miért ne hallgathatná meg ezt a “Smashing Security” podcastot, amelyet rögzítettünk:

Érdekesnek találta ezt a cikket? Kövesd Graham Cluley-t a Twitteren, hogy többet olvashass az általunk közzétett exkluzív tartalmakról.