Quando ti iscrivi a un social network ti aspetti che mantenga le promesse sulla privacy. Ad esempio, se dici al social network di non rivelare il tuo indirizzo email ad altri membri, ti aspetti che rimanga privato.

Ma un ricercatore di sicurezza ha spiegato in dettaglio come ha trovato un modo per scoprirlo * qualsiasi * Indirizzo email principale dell’utente di Facebook, indipendentemente dalle impostazioni sulla privacy, sfruttando un punto debole del social network.

Il ricercatore di sicurezza Stephen Sclafani ha descritto come è incappato nel buco della privacy mentre attraversava alcune vecchie mailing list.

Uno dei messaggi in cui si è imbattuto conteneva un’e-mail di promemoria di invito di Facebook, apparentemente inviata per sbaglio quando l’utente ha commesso l’errore di seguire il consiglio di Facebook di invitare l’intero elenco dei contatti sul social network:

Ciò che è interessante è l’URL cliccabile in fondo al messaggio di invito.

Quando Sclafani ha cliccato sul collegamento, è stato indirizzato a una pagina di iscrizione a Facebook già compilata con l’indirizzo della mailing list e il nome della persona w ho usato il link per registrarti per un account:

Sclafani ha dato un’occhiata più da vicino al collegamento e ha scoperto qualcosa di interessante :

Il collegamento conteneva due parametri: “re” e “mid”:

La modifica del parametro re non ha funzionato; tuttavia, la modifica di parti del parametro mid ha comportato la visualizzazione di altri indirizzi. Avvicinandoci al parametro, il suo valore era in realtà una stringa di valori con “G” che fungeva da delimitatore:

59b63a G 5af3107aba69 G 0 G 46

Era solo il secondo valore importante. Il valore era un ID associato all’indirizzo a cui è stato inviato l’invito in esadecimale. L’ID numerico di un utente di Facebook potrebbe essere inserito come questo valore e verrebbe visualizzato il suo indirizzo email principale. L’ID numerico di un utente è considerato un’informazione pubblica e può essere ottenuto dalla sorgente del loro profilo o tramite l’API Graph.

In altre parole, se hai sostituito quella parte del parametro “mid” con il valore esadecimale dell’ID del profilo numerico di un utente Facebook diverso, ti verrà mostrato il loro indirizzo email principale.

Gli ID del profilo Facebook non sono segreti. Puoi ottenerli facilmente tramite siti come Trova il mio ID Facebook o dalla directory del profilo di Facebook.

In effetti, è possibile immagina come qualcuno interessato ad afferrare l’indirizzo e-mail di * ogni * * singolo * utente di Facebook potrebbe scrivere uno script per esplorare la directory del profilo, trasformare ogni ID in esadecimale e quindi utilizzare l’URL modificato per raccogliere infine ogni indirizzo.

È facile immaginare come si possa abusare di un database di tali indirizzi email.

Fortunatamente, Stephen Sclafani ha un po ‘di etica. E invece di cercare di fare un grande colpo pubblicando i dettagli dell’imbarazzante difetto di Facebook, ha scelto di rivelarlo in modo responsabile al social network. Sclafani afferma che Facebook ha corretto il difetto entro 24 ore e lo ha ricompensato $ 3.500 per i suoi sforzi nell’ambito del loro programma Bug Bounty.

Facebook sembra certamente essere grato di aver agito nel modo in cui ha fatto, dicendomi:

“Apprezziamo lo sforzo del ricercatore sulla sicurezza di segnalare questo problema al nostro programma White Hat. Abbiamo collaborato con il ricercatore per valutare la portata del problema e risolverlo bug rapidamente. Non abbiamo alcuna prova che sia stato sfruttato in modo dannoso. “

” Abbiamo fornito una ricompensa al ricercatore per ringraziarlo del suo contributo alla sicurezza di Facebook. “

Complimenti a Sclafani per aver trovato il difetto e aver agito in modo responsabile. E, anche se sarebbe stato meglio se la scappatoia della privacy non fosse stata lì in primo luogo, complimenti a Facebook per aver risolto il problema così rapidamente dopo essere stato informato.

Se stai pensando di lasciare Facebook , perché non ascoltare questo podcast di “Smashing Security” che abbiamo registrato:

Hai trovato questo articolo interessante? Segui Graham Cluley su Twitter per leggere altri contenuti esclusivi che pubblichiamo.