ソーシャルネットワークにサインアップすると、プライバシーの約束が守られることが期待されます。たとえば、ソーシャルネットワークに自分のメールアドレスを他のメンバーに公開しないように指示した場合、そのアドレスは非公開のままであると予想されます。

しかし、セキュリティ研究者は、*任意のものを見つける方法を見つけた方法を詳しく説明しています。 * Facebookユーザーのメインのメールアドレスは、プライバシー設定に関係なく、ソーシャルネットワークの弱点を悪用します。

セキュリティ研究者のStephenSclafaniは、古いメーリングリストを探しているときにプライバシーホールに遭遇した方法について説明しました。

彼が出くわしたメッセージの1つに、Facebookの招待リマインダーメールが含まれていました。これは、ユーザーがFacebookのアドバイスに従って、連絡先リスト全体をソーシャルネットワークに招待するのを間違えたときに誤って送信されたようです。

興味深いのは、招待メッセージの下部にあるクリック可能なURLです。

Sclafaniがリンクをクリックすると、彼はすでにメーリングリストのアドレスと人の名前が記入されているFacebookのサインアップページに連れて行かれましたw hoはリンクを使用してアカウントにサインアップしました：

Sclafaniはリンクを詳しく調べて、何か面白いものを発見しました：

リンクには「re」と「mid」の2つのパラメーターが含まれていました：

reパラメーターを変更しても何も起こりませんでした。ただし、midパラメータの一部を変更すると、他のアドレスが表示されます。パラメータを詳しく見ると、その値は実際には「G」が区切り文字として機能する値の文字列でした。

59b63a G 5af3107aba69 G 0 G 46

2番目の値のみが重要。値は、招待状が送信されたアドレスに関連付けられたID（16進数）でした。この値としてFacebookユーザーの数値IDを入力すると、メインのメールアドレスが表示されます。ユーザーの数値IDは公開情報と見なされ、次のことができます。プロファイルのソースから、またはGraphAPIを介して取得します。

つまり、「mid」パラメータのその部分を別のFacebookユーザーの数値プロファイルIDの16進値の場合、メインの電子メールアドレスが表示されます。

FacebookプロファイルIDは秘密ではありません。 Find My Facebook IDなどのサイトから、またはFacebook独自のプロファイルディレクトリから簡単に取得できます。

実際、次のことが可能です。 *すべての**単一*のFacebookユーザーのメールアドレスを取得することに関心のある人が、プロファイルディレクトリをトロールし、各IDを16進数に変換し、変更されたURLを使用して最終的に各アドレスをすくい上げるスクリプトを作成する方法を想像してみてください。

そのような電子メールアドレスのデータベースがどのように悪用されるかを想像するのは簡単です。

幸いなことに、StephenSclafaniにはいくつかの倫理観があります。そして、Facebookの恥ずかしい欠陥の詳細を公開することで大きなスプラッシュを作ろうとするのではなく、責任を持ってソーシャルネットワークに開示することを選択しました。 Sclafaniは、Facebookが24時間以内に欠陥を修正し、バグバウンティプログラムの下での彼の努力に対して3,500ドルの報酬を与えたと言います。

Facebookは確かに、彼がしたように行動したことに感謝しているようです。 / p>

「この問題をホワイトハットプログラムに報告するためのセキュリティ研究者の努力に感謝します。問題の範囲を評価して修正するために研究者と協力しましたバグはすぐに発生します。悪意を持って悪用されたという証拠はありません。」

「Facebookのセキュリティに貢献してくれた研究者に感謝の意を表しました。」

欠陥を見つけて責任を持って行動したことで、Sclafaniによくやった。そして、そもそもプライバシーの抜け穴がなかったらもっと良かったのですが、Facebookを離れることを考えているのなら、通知を受けてすぐに修正してくれました。

、私たちが記録したこの「SmashingSecurity」ポッドキャストを聞いてみませんか：

この記事が面白いと思いましたか？TwitterでGraham Cluleyをフォローして、私たちが投稿する独占コンテンツの詳細を読んでください。