Lorsque vous vous inscrivez pour un réseau social vous vous attendez à tenir ses promesses de confidentialité. Par exemple, si vous dites le réseau social de ne pas révéler votre adresse e-mail à d'autres membres, vous vous attendez à rester privé.
Mais un chercheur en sécurité a détaillé comment il a trouvé un moyen de le savoir * adresse e-mail principale de n'importe quel utilisateur * Facebook, indépendamment de leurs paramètres de confidentialité, en exploitant une faiblesse sur le réseau social.
Sécurité Le chercheur Stephen Sclafani décrit comment il a trébuché à travers le trou de la vie privée le tout Ambling à travers quelques vieilles listes de diffusion.
L'un des messages qu'il est venu contenue dans une invitation Facebook mail de rappel, apparemment envoyé par accident lorsque l'utilisateur fait l'erreur de suivre les conseils de Facebook pour inviter leur liste de contacts entières au réseau social:
Ce qui est intéressant est l'URL cliquable au bas du message inviter.
Lorsque Sclafani cliqué sur le lien, il a été emmené à un page d'inscription Facebook déjà rempli avec l'adresse de la liste de diffusion et le nom de la personne qui a utilisé le lien pour vous inscrire à un compte:
Sclafani a pris un coup d'oeil de plus près le lien, et a découvert quelque chose d'intéressant:
Le lien contient deux paramètres: "re" et "mi":
Http://www.facebook.com/r.php? re 245bf2da75118af20d917bdd34babddb = & mi = 59b63aG5af3107aba69G0G46
Modification du paramètre de re n'a rien fait; Toutefois, l'évolution des parties du paramètre mi abouti à d'autres adresses affichées. Prenant de plus près à ce paramètre, sa valeur était en fait une chaîne de valeurs avec "G" agissant comme séparateur:
59b63a G 5af3107aba69 G 0 G 46
Seule la seconde valeur est importante. La valeur est un ID associé à l'adresse que l'invitation a été envoyée à l'hexagone.ID numérique d'un utilisateur de Facebook peut être mis comme cette valeur et leur adresse e-mail principale serait affiché. ID numérique de l'utilisateur est considérée comme publique et peut être obtenu à partir de la source de leur profil ou via l'API Graph.
En d'autres termes, si vous avez remplacé la partie de la "mi" paramètre avec la valeur hexadécimale de l'ID de profil numérique de un différents utilisateurs de Facebook, vous seriez montré leur adresse e-mail principale.
Profil Facebook ID ne sont pas secrets. Vous pouvez les obtenir via des sites comme facilement Find My ID Facebook ou de la propre Facebook répertoire de profil .
En effet, il est possible d'imaginer comment quelqu'un qui s'intéresse à saisir l'adresse e-mail de * chaque * seul utilisateur * Facebook pourrait écrire un script pour éplucher le répertoire de profil, mettez chaque identité en hexadécimal, puis utilisez l'URL modifiée pour finalement ramasser chaque adresse.
Il est facile d'imaginer comment une base de données de ces adresses e-mail peut être abusé.
Heureusement, Stephen Sclafani a quelques éthique. Et plutôt que d'essayer de faire une entrée fracassante en publiant les détails de défaut gênant de Facebook, il a choisi de divulguer de façon responsable pour le réseau social. Cela dit Sclafani Facebook fixé la faille dans les 24 heures, et le récompensa $ 3500 pour ses efforts dans le cadre autoroute Bug Bounty programme.
Facebook semble certainement être reconnaissants qu'il a agi de la manière qu'il a fait, en me disant:
«Nous apprécions les efforts du chercheur en sécurité pour signaler ce problème à notre programme White Hat. Nous avons travaillé avec le chercheur d'évaluer l'ampleur du problème et corriger ce bug rapidement. Nous n'avons aucune preuve qu'il a été exploité malicieusement."
"Nous avons fourni une prime au chercheur pour le remercier de sa contribution à la sécurité de Facebook."
Bravo à Sclafani pour trouver la faille et agir de manière responsable. Et - bien que cela aurait été mieux si l'échappatoire de la vie privée n'avait pas été là en premier lieu - bien fait de Facebook pour la fixation si rapidement après avoir été informé
0 التعليقات