Wenn Sie sich für ein soziales Netzwerk anmelden, erwarten Sie, dass es seine Datenschutzversprechen einhält. Wenn Sie beispielsweise dem sozialen Netzwerk mitteilen, dass Ihre E-Mail-Adresse keinem anderen Mitglied mitgeteilt werden soll, erwarten Sie, dass diese privat bleibt.

Ein Sicherheitsforscher hat jedoch detailliert beschrieben, wie er einen Weg gefunden hat, * eine herauszufinden * Die primäre E-Mail-Adresse des Facebook-Benutzers, unabhängig von seinen Datenschutzeinstellungen, indem eine Schwachstelle im sozialen Netzwerk ausgenutzt wird.

Der Sicherheitsforscher Stephen Sclafani beschrieb, wie er beim Durchstöbern einiger alter Mailinglisten über die Datenschutzlücke gestolpert ist.

Eine der Nachrichten, auf die er stieß, enthielt eine E-Mail mit einer Facebook-Einladungserinnerung, die scheinbar versehentlich gesendet wurde, als der Benutzer den Fehler machte, den Ratschlägen von Facebook zu folgen, um seine gesamte Kontaktliste in das soziale Netzwerk einzuladen:

Interessant ist die anklickbare URL am Ende der Einladungsnachricht.

Als Sclafani auf den Link klickte, Er wurde zu einer Facebook-Anmeldeseite weitergeleitet, die bereits mit der Adresse der Mailingliste und dem Namen der Person w gefüllt war Er benutzte den Link, um sich für ein Konto anzumelden:

Sclafani sah sich den Link genauer an und entdeckte etwas Interessantes :

Der Link enthielt zwei Parameter: „re“ und „mid“:

Das Ändern des re-Parameters hat nichts bewirkt. Das Ändern von Teilen des mittleren Parameters führte jedoch dazu, dass andere Adressen angezeigt wurden. Bei näherer Betrachtung des Parameters war sein Wert tatsächlich eine Folge von Werten, wobei „G“ als Begrenzer fungierte:

59b63a G 5af3107aba69 G 0 G 46

Nur der zweite Wert war Der Wert war eine ID, die der Adresse zugeordnet war, an die die Einladung in hexadezimaler Form gesendet wurde. Die numerische ID eines Facebook-Benutzers konnte als dieser Wert angegeben werden, und seine primäre E-Mail-Adresse wurde angezeigt. Die numerische ID eines Benutzers wird als öffentliche Information betrachtet und kann Sie können von der Quelle ihres Profils oder über die Graph-API abgerufen werden.

Mit anderen Worten, wenn Sie diesen Teil des Parameters „mid“ durch den ersetzt haben Beim Hex-Wert der numerischen Profil-ID eines anderen Facebook-Benutzers wird dessen primäre E-Mail-Adresse angezeigt.

Facebook-Profil-IDs sind nicht geheim. Sie können sie einfach über Websites wie „Meine Facebook-ID suchen“ oder aus dem Facebook-eigenen Profilverzeichnis abrufen.

In der Tat ist dies möglich Stellen Sie sich vor, wie jemand, der daran interessiert ist, die E-Mail-Adresse * jedes * * einzelnen * Facebook-Benutzers abzurufen, ein Skript schreiben könnte, um das Profilverzeichnis zu durchsuchen, jede ID in hexadezimal zu verwandeln und dann die geänderte URL zu verwenden, um letztendlich jede Adresse zu ermitteln.

Es ist leicht vorstellbar, wie eine Datenbank mit solchen E-Mail-Adressen missbraucht werden könnte.

Glücklicherweise hat Stephen Sclafani eine gewisse Ethik. Und anstatt zu versuchen, durch die Veröffentlichung von Details zu Facebooks peinlichem Fehler für Furore zu sorgen, entschloss er sich, diese verantwortungsbewusst dem sozialen Netzwerk zu übermitteln. Sclafani sagt, dass Facebook den Fehler innerhalb von 24 Stunden behoben und ihm 3.500 US-Dollar für seine Bemühungen im Rahmen seines Bug Bounty-Programms belohnt hat.

Facebook scheint sicherlich dankbar zu sein, dass er so gehandelt hat, wie er es getan hat, und mir gesagt hat:

„Wir begrüßen die Bemühungen des Sicherheitsforschers, dieses Problem unserem White Hat-Programm zu melden. Wir haben mit dem Forscher zusammengearbeitet, um den Umfang des Problems zu bewerten und dieses Problem zu beheben Fehler schnell. Wir haben keine Beweise dafür, dass es böswillig ausgenutzt wurde. „

“ Wir haben dem Forscher ein Kopfgeld zur Verfügung gestellt, um ihm für seinen Beitrag zur Facebook-Sicherheit zu danken. „

Gut gemacht an Sclafani, dass er den Fehler gefunden und verantwortungsbewusst gehandelt hat. Und – obwohl es besser gewesen wäre, wenn die Datenschutzlücke überhaupt nicht vorhanden gewesen wäre – gut gemacht an Facebook, dass es so schnell behoben wurde, nachdem es informiert wurde.

Wenn Sie daran denken, Facebook zu verlassen Hören Sie sich diesen von uns aufgezeichneten Podcast „Smashing Security“ an:

Fanden Sie diesen Artikel interessant? Folgen Sie Graham Cluley auf Twitter, um mehr über den exklusiven Inhalt zu erfahren, den wir veröffentlichen.