Kiedy rejestrujesz się w sieci społecznościowej, oczekujesz, że dotrzyma obietnic dotyczących prywatności. Na przykład, jeśli powiesz portalowi społecznościowemu, aby nie ujawniał Twojego adresu e-mail innym członkom, spodziewasz się, że pozostanie on prywatny.

Jednak badacz bezpieczeństwa szczegółowo opisał, w jaki sposób znalazł sposób, aby dowiedzieć się * dowolne * Główny adres e-mail użytkownika Facebooka, niezależnie od jego ustawień prywatności, wykorzystując słabość w sieci społecznościowej.

Badacz bezpieczeństwa Stephen Sclafani opisał, jak natknął się na lukę prywatności podczas przeglądania starych list mailingowych.

Jedna z wiadomości, które napotkał, zawierała wiadomość e-mail z przypomnieniem o zaproszeniu na Facebooku, najwyraźniej wysłaną przez przypadek, gdy użytkownik popełnił błąd, postępując zgodnie z radą Facebooka, aby zaprosić całą listę kontaktów do sieci społecznościowej:

Interesujący jest klikalny adres URL na dole wiadomości z zaproszeniem.

Kiedy Sclafani kliknął link, został przeniesiony na stronę rejestracji na Facebooku, na której był już wypełniony adres listy mailingowej i nazwisko osoby m. in ho użył linku, aby założyć konto:

Sclafani przyjrzał się bliżej linkowi i odkrył coś interesującego :

Odsyłacz zawierał dwa parametry: „re” i „mid”:

Zmiana parametru re nic nie dała; jednak zmiana części parametru mid spowodowała wyświetlenie innych adresów. Przyjmując bliżej parametr, jego wartość była w rzeczywistości ciągiem wartości z „G” działającym jako separator:

59b63a G 5af3107aba69 G 0 G 46

Tylko druga wartość była ważna. Wartością był identyfikator powiązany z adresem, na który wysłano zaproszenie, zapisany w formacie szesnastkowym. Jako tę wartość można wpisać identyfikator numeryczny użytkownika Facebooka i wyświetlić jego podstawowy adres e-mail. Numeryczny identyfikator użytkownika jest informacją publiczną i można go można uzyskać ze źródła ich profilu lub przez Graph API.

Innymi słowy, jeśli zastąpisz tę część parametru „mid” parametrem wartości szesnastkowej numerycznego identyfikatora profilu innego użytkownika Facebooka, zobaczysz ich główny adres e-mail.

Identyfikatory profili na Facebooku nie są tajne. Możesz je łatwo zdobyć za pośrednictwem witryn takich jak Find My Facebook ID lub z własnego katalogu profili Facebooka.

Rzeczywiście, jest to możliwe wyobraź sobie, jak ktoś zainteresowany przechwyceniem adresu e-mail * każdego * * pojedynczego * użytkownika Facebooka mógłby napisać skrypt, który przeszuka katalog profilu, zamieni każdy identyfikator na szesnastkowy, a następnie użyje zmodyfikowanego adresu URL, aby ostatecznie zebrać każdy adres.

Łatwo sobie wyobrazić, w jaki sposób baza danych takich adresów e-mail może zostać nadużywana.

Na szczęście Stephen Sclafani ma pewne zasady etyczne. Zamiast próbować zrobić duży rozgłos, publikując szczegóły wstydliwego błędu Facebooka, zdecydował się ujawnić to w odpowiedzialny sposób w sieci społecznościowej. Sclafani mówi, że Facebook naprawił błąd w ciągu 24 godzin i nagrodził go 3500 $ za jego wysiłki w ramach programu Bug Bounty.

Facebook z pewnością wydaje się być wdzięczny, że postąpił tak, jak zrobił, mówiąc mi:

„Doceniamy wysiłek analityka bezpieczeństwa, który zgłosił ten problem do naszego programu White Hat. Współpracowaliśmy z badaczem, aby ocenić zakres problemu i naprawić go błąd szybko. Nie mamy dowodów na to, że został wykorzystany złośliwie. ”

„ Oddaliśmy badaczowi nagrodę, aby podziękować mu za jego wkład w bezpieczeństwo Facebooka. ”

Brawa dla Sclafani za znalezienie błędu i odpowiedzialne działanie. I – chociaż byłoby lepiej, gdyby nie było luki w prywatności – dobra robota dla Facebooka za tak szybkie naprawienie tego po otrzymaniu informacji.

Jeśli myślisz o opuszczeniu Facebooka , dlaczego nie posłuchać tego podcastu „Smashing Security”, który nagraliśmy:

Ten artykuł jest interesujący? Obserwuj Grahama Cluleya na Twitterze, aby przeczytać więcej ekskluzywnych treści, które publikujemy.