Când vă înscrieți pentru o rețea socială, vă așteptați să își respecte promisiunile de confidențialitate. De exemplu, dacă spuneți rețelei sociale să nu vă dezvăluie adresa de e-mail niciunui alt membru, vă așteptați ca aceasta să rămână privată.

Dar un cercetător în domeniul securității a detaliat modul în care a găsit o modalitate de a afla * orice * Adresa de e-mail principală a utilizatorului Facebook, indiferent de setările sale de confidențialitate, prin exploatarea unei slăbiciuni din rețeaua socială.

Cercetătorul în domeniul securității, Stephen Sclafani, a descris cum a dat peste gaura de confidențialitate în timp ce se plimba prin câteva liste de discuții vechi. / p>

Unul dintre mesajele pe care le-a întâlnit conținea un e-mail de reamintire a invitației Facebook, trimis aparent din întâmplare când utilizatorul a făcut greșeala de a urma sfaturile Facebook de a-și invita întreaga listă de contacte la rețeaua socială:

Ce este interesant este adresa URL care poate fi făcută clic în partea de jos a mesajului de invitație.

Când Sclafani a dat clic pe link, a fost dus la o pagină de înscriere pe Facebook deja completată cu adresa listei de corespondență și numele persoanei w a folosit linkul pentru a vă înregistra un cont:

Sclafani a analizat mai atent linkul și a descoperit ceva interesant :

Legătura conținea doi parametri: „re” și „mid”:

Modificarea parametrului re nu a făcut nimic; totuși, schimbarea părților din parametrul mediu a dus la afișarea altor adrese. Apropiindu-ne de parametru, valoarea acestuia era de fapt un șir de valori cu „G” acționând ca delimitator:

59b63a G 5af3107aba69 G 0 G 46

Doar a doua valoare a fost important. Valoarea a fost un ID asociat cu adresa la care a fost trimisă invitația în hex. ID-ul numeric al unui utilizator Facebook ar putea fi pus ca această valoare și ar fi afișată adresa de e-mail principală. ID-ul numeric al unui utilizator este considerat informație publică și poate fi să fie obținute din sursa profilului lor sau prin API-ul Graph.

Cu alte cuvinte, dacă ați înlocuit acea parte a parametrului „mid” cu valoarea hexagonală a unui alt ID de profil numeric al utilizatorilor Facebook, vi se va afișa adresa de e-mail principală.

ID-urile profilului Facebook nu sunt secrete. Puteți să le obțineți cu ușurință prin intermediul site-urilor precum Find My Facebook ID sau din propriul director de profil Facebook.

Într-adevăr, este posibil să imaginați-vă cum cineva interesat să obțină adresa de e-mail a * fiecărui * * singur utilizator Facebook ar putea scrie un script pentru a trage directorul profilului, transforma fiecare ID în hexagon și apoi utiliza URL-ul modificat pentru a scoate în cele din urmă fiecare adresă.

Este ușor să ne imaginăm cum ar putea fi abuzată o bază de date cu astfel de adrese de e-mail.

Din fericire, Stephen Sclafani are o anumită etică. Și mai degrabă decât să încerce să facă o mare presiune publicând detalii despre defectul jenant al Facebook, el a ales să-l dezvăluie în mod responsabil rețelei sociale. Sclafani spune că Facebook a remediat defectul în 24 de ore și l-a recompensat cu 3.500 de dolari pentru eforturile sale în cadrul programului lor Bug Bounty.

Facebook pare cu siguranță recunoscător că a acționat în felul în care a făcut-o, spunându-mi: / p>

„Apreciem efortul cercetătorului de securitate de a raporta această problemă programului nostru White Hat. Am lucrat cu cercetătorul pentru a evalua domeniul de aplicare al problemei și a remedia această problemă bug rapid. Nu avem nicio dovadă că a fost exploatat cu rea intenție. ”

„ Am oferit o recompensă cercetătorului pentru a-i mulțumi pentru contribuția sa la securitatea Facebook. ”

Bravo lui Sclafani pentru că a găsit defectul și a acționat responsabil. Și – deși ar fi fost mai bine dacă lacuna de confidențialitate nu ar fi existat în primul rând – bravo pentru Facebook pentru că a remediat-o atât de repede după ce a fost informat.

Dacă vă gândiți să părăsiți Facebook , de ce să nu ascultați acest podcast „Smashing Security” pe care l-am înregistrat:

Ați găsit acest articol interesant? Urmați-l pe Graham Cluley pe Twitter pentru a citi mai multe din conținutul exclusiv pe care îl postăm.