Quando você se inscreve em uma rede social, espera que ela cumpra suas promessas de privacidade. Por exemplo, se você disser à rede social para não revelar seu endereço de e-mail a nenhum outro membro, você espera que ele permaneça privado.

Mas um pesquisador de segurança detalhou como encontrou uma maneira de descobrir * qualquer * O endereço de e-mail principal do usuário do Facebook, independentemente de suas configurações de privacidade, explorando uma fraqueza na rede social.

O pesquisador de segurança Stephen Sclafani descreveu como ele tropeçou no buraco de privacidade enquanto passava por algumas listas de e-mail antigas.

Uma das mensagens que ele encontrou continha um e-mail de lembrete de convite do Facebook, aparentemente enviado por acidente quando o usuário cometeu o erro de seguir o conselho do Facebook de convidar toda a sua lista de contatos para a rede social:

O que é interessante é o URL clicável na parte inferior da mensagem de convite.

Quando Sclafani clicou no link, ele foi levado a uma página de inscrição do Facebook já preenchida com o endereço da lista de correspondência e o nome da pessoa que ho usou o link para se inscrever em uma conta:

Sclafani deu uma olhada no link mais de perto e descobriu algo interessante :

O link continha dois parâmetros: “re” e “mid”:

Alterar o parâmetro re não adiantou; no entanto, alterar partes do parâmetro mid resultou na exibição de outros endereços. Aproximando o parâmetro, seu valor era na verdade uma string de valores com “G” atuando como um delimitador:

59b63a G 5af3107aba69 G 0 G 46

Apenas o segundo valor era importante. O valor era um ID associado ao endereço para o qual o convite foi enviado em hexadecimal. Um ID numérico de usuário do Facebook poderia ser colocado como este valor e seu endereço de e-mail principal seria exibido. O ID numérico de um usuário é considerado informação pública e pode ser obtido da fonte de seu perfil ou por meio da API Graph.

Em outras palavras, se você substituiu essa parte do parâmetro “mid” pelo valor hexadecimal de um ID de perfil numérico de outro usuário do Facebook, seria mostrado o endereço de e-mail principal.

Os IDs de perfil do Facebook não são secretos. Você pode obtê-los facilmente por meio de sites como Find My Facebook ID ou do próprio diretório de perfil do Facebook.

Na verdade, é possível imagine como alguém interessado em obter o endereço de e-mail de * cada * * único * usuário do Facebook poderia escrever um script para vasculhar o diretório do perfil, transformar cada ID em hexadecimal e, em seguida, usar a URL modificada para coletar cada endereço.

É fácil imaginar como um banco de dados com esses endereços de e-mail pode ser abusado.

Felizmente, Stephen Sclafani tem algumas éticas. E ao invés de tentar causar um grande impacto publicando detalhes da falha embaraçosa do Facebook, ele optou por divulgá-los de forma responsável para a rede social. Sclafani diz que o Facebook corrigiu a falha em 24 horas e o recompensou com US $ 3.500 por seus esforços no programa Bug Bounty.

O Facebook certamente parece estar grato por ele ter agido da maneira que agiu, dizendo-me:

“Agradecemos o esforço do pesquisador de segurança para relatar esse problema ao nosso programa White Hat. Trabalhamos com o pesquisador para avaliar o escopo do problema e corrigi-lo bug rapidamente. Não temos evidências de que ele foi explorado de forma maliciosa. ”

” Oferecemos uma recompensa ao pesquisador para agradecê-lo por sua contribuição para a segurança do Facebook. ”

Parabéns a Sclafani por encontrar a falha e agir com responsabilidade. E – embora teria sido melhor se a brecha de privacidade não estivesse lá em primeiro lugar – parabéns ao Facebook por consertá-lo tão rapidamente depois de ser informado.

Se você está pensando em deixar o Facebook , por que não ouvir este podcast “Smashing Security” que gravamos:

Achou este artigo interessante? Siga Graham Cluley no Twitter para ler mais sobre o conteúdo exclusivo que postamos.