Når du registrerer deg for et sosialt nettverk, forventer du at det holder sine personvernløfter. Hvis du for eksempel ber det sosiale nettverket om å ikke avsløre e-postadressen din til andre medlemmer, forventer du at den forblir privat.

Men en sikkerhetsforsker har detaljert hvordan han fant en måte å finne ut * noen * Facebook-brukerens primære e-postadresse, uavhengig av personverninnstillinger, ved å utnytte en svakhet på det sosiale nettverket.

Sikkerhetsforsker Stephen Sclafani beskrev hvordan han snublet over personvernhullet mens han vandret gjennom noen gamle adresselister.

En av meldingene han kom over inneholdt en påminnelses-e-post på Facebook, tilsynelatende sendt ved et uhell da brukeren gjorde feilen ved å følge Facebooks råd om å invitere hele kontaktlisten til det sosiale nettverket:

Det som er interessant er den klikkbare URL-en nederst i invitasjonsmeldingen.

Når Sclafani klikket på lenken, han ble ført til en Facebook-påmeldingsside som allerede var fylt ut med adresselistens adresse og navnet på personen w ho brukte lenken til å registrere seg for en konto:

Sclafani så på lenken nærmere, og oppdaget noe interessant :

Koblingen inneholdt to parametere: «re» og «mid»:

Endring av re-parameteren gjorde ingenting; endring av deler av midtparameteren resulterte imidlertid i at andre adresser ble vist. Når vi nærmer oss parameteren, var verdien faktisk en streng med verdier med «G» som fungerte som en avgrenser:

59b63a G 5af3107aba69 G 0 G 46

Bare den andre verdien var verdien. Verdien var en ID tilknyttet adressen som invitasjonen ble sendt til i heks. En Facebook-brukeres numeriske ID kan settes da denne verdien og deres primære e-postadresse vil bli vist. En brukers numeriske ID regnes som offentlig informasjon og kan fås fra kilden til profilen deres eller via Graph API.

Med andre ord, hvis du byttet ut den delen av «mid» -parameteren med hex-verdi av en annen Facebook-brukeres numeriske profil-ID, vil du få vist deres primære e-postadresse.

Facebook-profil-IDene er ikke hemmelige. Du kan få dem enkelt via nettsteder som Finn min Facebook-ID eller fra Facebooks egen profilkatalog.

Det er faktisk mulig å forestill deg hvordan noen som er interessert i å få tak i e-postadressen til * hver * * enkelt * Facebook-bruker, kan skrive et skript for å tråle profilkatalogen, gjøre hver ID om til hex, og deretter bruke den endrede URL-en til å til slutt skaffe opp hver adresse.

Det er lett å forestille seg hvordan en database med slike e-postadresser kan bli misbrukt.

Heldigvis har Stephen Sclafani noe etikk. Og i stedet for å prøve å gjøre et stort sprut ved å publisere detaljer om Facebooks pinlige feil, valgte han å avsløre det ansvarlig til det sosiale nettverket. Sclafani sier at Facebook løste feilen innen 24 timer, og belønnet ham $ 3500 for sin innsats under deres Bug Bounty-program.

Facebook ser absolutt ut til å være takknemlig for at han oppførte seg slik han gjorde, og sa til meg:

«Vi setter pris på sikkerhetsforskerens innsats for å rapportere dette problemet til White Hat-programmet. Vi jobbet sammen med forskeren for å evaluere omfanget av problemet og fikse dette feil raskt. Vi har ingen bevis for at det ble utnyttet skadelig. «

» Vi har gitt forskeren en pris for å takke ham for hans bidrag til Facebooks sikkerhet. «

Bra gjort for Sclafani for å finne feilen og opptre ansvarlig. Og – selv om det hadde vært bedre om personvernhullet ikke hadde vært der i utgangspunktet – godt gjort for Facebook for å fikse det så raskt etter å ha blitt informert.

Hvis du tenker på å forlate Facebook , hvorfor ikke lytte til denne «Smashing Security» -podcasten vi spilte inn:

Fant denne artikkelen interessant? Følg Graham Cluley på Twitter for å lese mer av det eksklusive innholdet vi legger ut.