소셜 네트워크에 가입 할 때 개인 정보 보호 약속을 지키기를 기대합니다. 예를 들어 소셜 네트워크에 귀하의 이메일 주소를 다른 회원에게 공개하지 말라고 말하면 비공개로 유지 될 것으로 기대합니다.

하지만 한 보안 연구원이 * 모든 것을 알아낼 수있는 방법을 찾았습니다. * Facebook 사용자의 기본 이메일 주소는 개인 정보 설정에 관계없이 소셜 네트워크의 약점을 악용하여 사용합니다.

보안 연구원 Stephen Sclafani는 오래된 메일 링 목록을 살펴보면서 프라이버시 허점을 어떻게 발견했는지 설명했습니다.

그가 만난 메시지 중 하나에는 Facebook 초대 알림 이메일이 포함되어 있습니다. 사용자가 전체 연락처 목록을 소셜 네트워크에 초대하라는 Facebook의 조언을 따르는 실수를했을 때 우연히 보낸 것 같습니다.

재미있는 것은 초대 메시지 하단의 클릭 가능한 URL입니다.

Sclafani가 링크를 클릭했을 때 그는 이미 메일 링리스트의 주소와 그 사람의 이름으로 채워진 Facebook 가입 페이지로 이동했습니다. Ho는 링크를 사용하여 계정에 가입했습니다.

Sclafani가 링크를 자세히 살펴보고 흥미로운 것을 발견했습니다. :

링크에는 “re”와 “mid”의 두 매개 변수가 포함되어 있습니다.

re 매개 변수를 변경해도 아무 작업도 수행되지 않았습니다. 그러나 mid 매개 변수의 일부를 변경하면 다른 주소가 표시됩니다. 매개 변수에 가까워지면 그 값은 실제로 “G”가 구분 기호로 작동하는 값의 문자열이었습니다.

59b63a G 5af3107aba69 G 0 G 46

두 번째 값만 중요. 값은 초대장이 전송 된 주소와 연관된 ID입니다.이 값으로 Facebook 사용자의 숫자 ID를 입력 할 수 있으며 기본 이메일 주소가 표시됩니다. 사용자의 숫자 ID는 공개 정보로 간주되며 프로필의 소스 또는 그래프 API를 통해 얻을 수 있습니다.

즉, “mid”매개 변수의 해당 부분을 다른 Facebook 사용자의 숫자 프로필 ID의 16 진수 값을 사용하면 기본 이메일 주소가 표시됩니다.

Facebook 프로필 ID는 비밀이 아닙니다. 내 Facebook ID 찾기와 같은 사이트 또는 Facebook의 자체 프로필 디렉토리를 통해 쉽게 얻을 수 있습니다.

사실, 가능합니다. * 모든 * * 단일 * Facebook 사용자의 이메일 주소를 파악하는 데 관심이있는 사람이 프로필 디렉토리를 탐색하고 각 ID를 16 진수로 변환 한 다음 수정 된 URL을 사용하여 궁극적으로 각 주소를 파악하는 스크립트를 작성하는 방법을 상상해보십시오.

이러한 이메일 주소의 데이터베이스가 어떻게 악용 될 수 있는지 쉽게 상상할 수 있습니다.

다행히 Stephen Sclafani는 몇 가지 윤리를 가지고 있습니다. 그리고 페이스 북의 부끄러운 결함에 대한 세부 정보를 게시하여 큰 화제를 일으키기보다는 소셜 네트워크에 책임감있게 공개하기로 결정했습니다. Sclafani는 Facebook이 24 시간 이내에 결함을 수정했으며 Bug Bounty 프로그램에 따른 노력에 대해 3,500 달러를 보상했다고 말했습니다.

Facebook은 그가 한 방식대로 행동 한 것에 대해 감사하게 생각하며 다음과 같이 말했습니다.

“이 문제를 White Hat 프로그램에보고하려는 보안 연구원의 노력에 감사드립니다. 연구원과 협력하여 문제의 범위를 평가하고이 문제를 해결했습니다. 악의적으로 악용되었다는 증거가 없습니다.”

“우리는 연구원에게 Facebook 보안에 기여한 것에 대해 감사하는 현상금을 제공했습니다.”

결점을 찾아 책임감있게 행동 한 Sclafani에게 감사드립니다. 그리고 – 비록 프라이버시 허점이 처음에 없었 더라면 더 좋았을 것입니다. 페이스 북은 정보를받은 후 빠르게 고쳤습니다.

페이스 북을 떠날 생각이라면 , 우리가 녹음 한 “Smashing Security”팟 캐스트를 들어보십시오.

이 기사가 흥미 롭다고 생각하십니까? 트위터에서 Graham Cluley를 팔로우하여 우리가 게시하는 독점 콘텐츠를 더 많이 읽으십시오.