Wanneer u zich aanmeldt voor een sociaal netwerk, verwacht u dat het zijn privacybeloften nakomt. Als u het sociale netwerk bijvoorbeeld vertelt om uw e-mailadres niet aan andere leden bekend te maken, verwacht u dat het privé blijft.

Maar een beveiligingsonderzoeker heeft gedetailleerd beschreven hoe hij een manier heeft gevonden om * eventuele * Het primaire e-mailadres van de Facebook-gebruiker, ongeacht hun privacy-instellingen, door een zwak punt op het sociale netwerk uit te buiten.

Beveiligingsonderzoeker Stephen Sclafani beschreef hoe hij over het privacygat struikelde terwijl hij door een aantal oude mailinglijsten slenterde. / p>

Een van de berichten die hij tegenkwam, bevatte een herinneringsmail voor een Facebook-uitnodiging, schijnbaar per ongeluk verzonden toen de gebruiker de fout maakte om het advies van Facebook op te volgen om zijn volledige contactenlijst uit te nodigen op het sociale netwerk:

Wat interessant is, is de aanklikbare URL onderaan het uitnodigingsbericht.

Toen Sclafani op de link klikte, hij werd naar een Facebook-aanmeldingspagina geleid die al was ingevuld met het adres van de mailinglijst en de naam van de persoon w ho gebruikte de link om zich aan te melden voor een account:

Sclafani bekeek de link nader en ontdekte iets interessants :

De link bevatte twee parameters: “re” en “mid”:

Het wijzigen van de re-parameter deed niets; het veranderen van delen van de mid-parameter resulteerde echter in het weergeven van andere adressen. Als we de parameter nader bekijken, was de waarde ervan eigenlijk een reeks waarden met ‘G’ als scheidingsteken:

59b63a G 5af3107aba69 G 0 G 46

Alleen de tweede waarde was belangrijk. De waarde was een ID die is gekoppeld aan het adres waarnaar de uitnodiging is verzonden in hexadecimaal. De numerieke ID van een Facebook-gebruiker kan worden ingevoerd als deze waarde en het primaire e-mailadres wordt weergegeven. De numerieke ID van een gebruiker wordt beschouwd als openbare informatie en kan worden verkregen bij de bron van hun profiel of via de Graph API.

Met andere woorden, als u dat deel van de parameter “mid” hebt vervangen door de hexadecimale waarde van de numerieke profiel-ID van een andere Facebook-gebruiker, dan krijgt u hun primaire e-mailadres te zien.

Facebook-profiel-ID’s zijn niet geheim. U kunt ze gemakkelijk verkrijgen via sites zoals Find My Facebook ID of vanuit de eigen profieldirectory van Facebook.

Inderdaad, het is mogelijk om stel je voor hoe iemand die geïnteresseerd is in het achterhalen van het e-mailadres van * elke * * enkele * Facebook-gebruiker een script kan schrijven om de profieldirectory te doorzoeken, elke ID in hexadecimale vorm kan veranderen en vervolgens de gewijzigde URL kan gebruiken om uiteindelijk elk adres op te halen.

Het is gemakkelijk voor te stellen hoe een database met dergelijke e-mailadressen zou kunnen worden misbruikt.

Gelukkig heeft Stephen Sclafani enige ethiek. En in plaats van te proberen een grote indruk te maken door details van de beschamende fout van Facebook te publiceren, koos hij ervoor om het op een verantwoorde manier bekend te maken aan het sociale netwerk. Sclafani zegt dat Facebook de fout binnen 24 uur heeft verholpen en hem $ 3.500 heeft beloond voor zijn inspanningen in het kader van hun Bug Bounty-programma.

Facebook lijkt zeker dankbaar dat hij handelde zoals hij deed en zei:

“We waarderen de inspanningen van de beveiligingsonderzoeker om dit probleem aan ons White Hat-programma te melden. We hebben met de onderzoeker samengewerkt om de omvang van het probleem te evalueren en dit op te lossen bug snel. We hebben geen bewijs dat er kwaadwillig misbruik van is gemaakt. “

” We hebben de onderzoeker een beloning gegeven om hem te bedanken voor zijn bijdrage aan de beveiliging van Facebook. “

Goed gedaan voor Sclafani voor het vinden van de fout en het verantwoord handelen. En – hoewel het beter zou zijn geweest als de privacy-maas in de wet er niet was geweest – goed gedaan voor Facebook om het zo snel op te lossen nadat je op de hoogte was gebracht.

Als je erover denkt om Facebook te verlaten , waarom luister je niet naar deze “Smashing Security” -podcast die we hebben opgenomen:

Vond je dit artikel interessant? Volg Graham Cluley op Twitter voor meer informatie over de exclusieve inhoud die we plaatsen.