الموضوع مترجم الي العربية عبر جوجل ارجوا من الزوار الذين لم يفهموا الموضوع الاتجاه الي الموضوع الاصلي من هنا
عند الاشتراك لشبكة اجتماعية تتوقع أن تبقي الوعود خصوصيته. على سبيل المثال، إذا كنت تقول الشبكة الاجتماعية عدم الكشف عن عنوان بريدك الإلكتروني إلى أي أعضاء آخرين، تتوقع أن تبقى الخاص.
لكن الباحث الأمني بالتفصيل كيف وجد طريقة لمعرفة عنوان البريد الإلكتروني الرئيسي * أي * الفيسبوك مستخدم، بغض النظر عن إعدادات الخصوصية الخاصة بهم، من خلال استغلال نقطة ضعف على الشبكة الاجتماعية.
الباحث ستيفن الأمن Sclafani وصف كيف انه تعثرت عبر ثقب الخصوصية أثناء التمشي من خلال بعض القوائم البريدية القديمة.
إحدى رسائل جاء الواردة عبر الفيسبوك تذكير دعوة بالبريد الإلكتروني، أرسلت على ما يبدو عن طريق الصدفة عندما قام بها المستخدم في خطأ التالية المشورة الفيسبوك لدعوة قائمة الأسماء بالكامل لالشبكة الاجتماعية:
ما يثير الاهتمام هو URL للنقر في أسفل الرسالة دعوة.
عند النقر على رابط Sclafani، اقتيد إلى الفيسبوك صفحة الاشتراك في شغل بالفعل مع عنوان في القائمة البريدية واسم الشخص الذي استخدم الرابط للتسجيل للحصول على حساب:
الموضوع مترجم الي العربية عبر جوجل ارجوا من الزوار الذين لم يفهموا الموضوع الاتجاه الي الموضوع الاصلي من هنا
تولى Sclafani نظرة فاحصة على الارتباط، واكتشفت شيئا للاهتمام:
يتضمن الرابط معلمتين: "إعادة" و "منتصف":
http://www.facebook.com/r.php؟
إعادة = 245bf2da75118af20d917bdd34babddb
و منتصف = 59b63aG5af3107aba69G0G46
تغيير المعلمة إعادة لم تفعل شيئا. ومع ذلك، أدت أجزاء المتغيرة للمعلمة في منتصف عناوين أخرى يتم عرضها. أخذ في أقرب المعلمة، وكانت قيمته في الواقع سلسلة من القيم مع "G" بوصفها محدد:
59b63a G 5af3107aba69 0 G G 46
كانت فقط القيمة الثانية الهامة. وكانت قيمة معرف المرتبطة العنوان الذي أرسلت فيه الدعوة إليها في عرافة. يمكن وضع ID العددي للمستخدم الفيسبوك لأن هذا قيمة وسوف يتم عرض عنوان البريد الإلكتروني الأساسي. يعتبر ID العددي للمستخدم في الإعلام ويمكن الحصول عليها من مصدر ملفهم الشخصي أو من خلال الرسم البياني API.
وبعبارة أخرى، إذا قمت باستبدال هذا الجزء من "منتصف" المعلمة مع قيمة عرافة من مختلف مستخدمي الفيسبوك 'العددي ملامح الهوية، وكنت ستعرض عنوان بريدهم الإلكتروني الأساسي.
الفيسبوك الشخصية معرفات ليست سرية. يمكنك الحصول عليها بسهولة عن طريق مواقع مثل البحث عن هويتي الفيسبوك أو من الفيسبوك الخاص في دليل ملف .
في الواقع، فمن الممكن أن نتصور كيف شخص مهتم في الاستيلاء على عنوان البريد الإلكتروني * كل * واحد * مستخدم الفيسبوك يمكن أن يكتب السيناريو لالجر الدليل الشخصي، وتحويل كل معرف في عرافة، ثم استخدم URL تعديل لحلج القطن في نهاية المطاف كل العنوان.
فإنه من السهل أن نتصور كيف يمكن أن يساء استخدامها قاعدة بيانات لهذه عناوين البريد الإلكتروني.
لحسن الحظ، ستيفن Sclafani لديه بعض الأخلاق. وبدلا من محاولة جعل هذا النبأ كبيرة من خلال نشر تفاصيل عيب محرج الفيسبوك، وقال انه اختار أن يكشف بشكل مسؤول للشبكة الاجتماعية. يقول Sclafani أن الفيسبوك الثابتة الخلل خلال 24 ساعة، وكافأته 3،500 دولار لجهوده تحت بهم علة فضله البرنامج.
الفيسبوك تظهر بالتأكيد أن تكون ممتنة أنه تصرف بالطريقة انه، وقال لي:
"نحن نقدر جهود الباحث الأمني في تقرير هذه المسألة إلى برنامجنا القبعة البيضاء. لقد عملنا مع الباحث لتقييم نطاق القضية وإصلاح هذا الخطأ بسرعة. لدينا أي دليل على أن تم استغلالها بشكل ضار."
"لقد قدمنا مكافأة للباحث أن أشكره على مساهمته في أمن الفيسبوك".
أحسنت Sclafani لإيجاد الخلل والعمل بمسؤولية. و- على الرغم من أنه كان من الأفضل لو كان ثغرة خصوصية لم تكن هناك في المقام الأول - أحسنت إلى الفيسبوك لتحديد ذلك بسرعة بعد أن أبلغ.
الموضوع مترجم الي العربية عبر جوجل ارجوا من الزوار الذين لم يفهموا الموضوع الاتجاه الي الموضوع الاصلي من هنا
0 التعليقات