När du registrerar dig för ett socialt nätverk förväntar du dig att det håller sina sekretesslöften. Om du till exempel säger till det sociala nätverket att inte avslöja din e-postadress för andra medlemmar, förväntar du dig att den förblir privat.

Men en säkerhetsforskare har detaljerat hur han hittade ett sätt att ta reda på * eventuella * Facebook-användarens primära e-postadress, oavsett deras integritetsinställningar, genom att utnyttja en svaghet i det sociala nätverket.

Säkerhetsforskare Stephen Sclafani beskrev hur han snubblat över sekretesshålet medan han vandrade genom några gamla e-postlistor.

Ett av meddelandena som han stötte på innehöll en påminnelse-e-postmeddelande på Facebook, till synes skickad av misstag när användaren gjorde misstaget att följa Facebooks råd att bjuda in hela sin kontaktlista till det sociala nätverket:

Vad som är intressant är den klickbara webbadressen längst ner i inbjudningsmeddelandet.

När Sclafani klickade på länken, han fördes till en Facebook-registreringssida som redan var ifylld med adresslistan och namnet på personen w ho använde länken för att registrera sig för ett konto:

Sclafani tittade närmare på länken och upptäckte något intressant :

Länken innehöll två parametrar: ”re” och ”mid”:

Att ändra re-parametern gjorde ingenting; ändrade delar av mittparametern resulterade dock i att andra adresser visas. När man närmade sig parametern var dess värde faktiskt en sträng av värden med ”G” som avgränsare:

59b63a G 5af3107aba69 G 0 G 46

Endast det andra värdet var Värdet var ett ID som är associerat med adressen som inbjudan skickades till i hex. En Facebook-användares numeriska ID kunde sättas eftersom detta värde och deras primära e-postadress skulle visas. En användares numeriska ID anses vara offentlig information och kan kan erhållas från källan till deras profil eller via Graph API.

Med andra ord, om du ersatte den delen av ”mid” -parametern med Hexvärde för en annan Facebook-användares numeriska profil-ID, skulle du visa deras primära e-postadress.

Facebook-profil-ID: n är inte hemliga. Du kan enkelt få dem via webbplatser som Hitta mitt Facebook-ID eller från Facebooks egen profilkatalog.

Det är faktiskt möjligt att föreställ dig hur någon som är intresserad av att ta tag i e-postadressen till * varje * * enskild * Facebook-användare kan skriva ett manus för att tråla profilkatalogen, förvandla varje ID till hexadecimalt och sedan använda den modifierade URL: en för att slutligen skopa upp varje adress.

Det är lätt att föreställa sig hur en databas med sådana e-postadresser kan missbrukas.

Lyckligtvis har Stephen Sclafani en del etik. Och i stället för att försöka göra ett stort stänk genom att publicera information om Facebooks pinsamma brist valde han att avslöja det ansvarsfullt till det sociala nätverket. Sclafani säger att Facebook fixade bristen inom 24 timmar och belönade honom 3500 dollar för sina ansträngningar under deras Bug Bounty-program.

Facebook verkar verkligen vara tacksam för att han agerade på det sätt som han gjorde och sa till mig: / p>

”Vi uppskattar säkerhetsforskarens ansträngningar att rapportera problemet till vårt White Hat-program. Vi arbetade tillsammans med forskaren för att utvärdera omfattningen av problemet och åtgärda detta bugg snabbt. Vi har inga bevis för att det utnyttjades skadligt. ”

” Vi har gett forskaren en rikedom att tacka honom för hans bidrag till Facebooks säkerhet. ”

Bra gjort till Sclafani för att hitta bristen och agera ansvarsfullt. Och – även om det hade varit bättre om sekretesshålet inte hade varit där i första hand – bra gjort för Facebook för att fixa det så snabbt efter att ha informerats.

Om du funderar på att lämna Facebook , varför inte lyssna på denna ”Smashing Security” -podcast som vi spelade in:

Hittade den här artikeln intressant? Följ Graham Cluley på Twitter för att läsa mer av det exklusiva innehållet vi lägger ut.