dodany: 10.07.2013 | tagi: , , ,

Autor:

Jak Facebook pomagał spamerom

0

Można powiedzieć, że Facebooku systematycznie odnajduje poważne błędy, które istnieją dłuższy okres. Tym razem opisywany problem dotyczy adresu e-mail potencjalnie wszystkich użytkowników serwisu.

Podczas procesu rejestracji użytkownik musi podać swój adres e-mail, na który zostaje później przesłana wiadomość z linkiem aktywującym konto. Właśnie ten adres można wydobyć, o ile znamy ID użytkownika. Pomóc nam może w tym zaproszenie od jakiegoś użytkownika.

Spobność tą odkrył Stephen Sclafani, który przeglądał swoje stare zaproszenia:

Przykładowe zaproszenie do Facebooka (źródło http://stephensclafani.com)

Przykładowe zaproszenie do Facebooka (źródło http://stephensclafani.com).

Jeśli klikniemy w link zawarty na końcu zaproszenia, zostaniemy przekierowani na stronę logowania serwisu:

Ekran logowania do FB z zaproszenia (źródło http://stephensclafani.com)

Ekran logowania do FB z zaproszenia (źródło http://stephensclafani.com).

Jak zapewne część z Was już się domyśla programiści Facebooka „dali ciała” właśnie w linku. Scalfani zauważył, że zawiera on dwa parametry: re oraz mid.

Przykładowy link wygląda następująco:

Modyfikacja pierwszego parametru nie zmienia niczego, natomiast drugiego już tak:

Ów numer jest dokładnie zaszyty pomiędzy dwoma literami G zaszytymi w ciągu, czyli w powyższym wypadku jest to 5af3107aba69. Jest on zapisany w systemie szesnastkowym.

Jeśli do linka z zaproszenia podstawimy dowolnie wybrany przez nas numer ID , to wyświetli się adres e-mail powiązany z profilem o podanym ID.

Taki mechanizm „zabezpieczeń” pozwalał w łatwy sposób na zdobycie dowolnego adresu e-mail, z czego napewno byli zadowoleni spamerzy. Na szczęście luka ta została już dawno naprawiona. Scalfani zgłosił problem administratorm Facebooka 22 marca tego roku i błąd został naprawiony w ciągu doby. W nagrodę za otrzymał 3500 dolarów amerykańskich.

Ciekawe, czy Facebook byłby tak samo skłonny zapłacić odszkodawanie za możliwość ujawnienia adresu e-mail pontecjalnym ofiarom luki. Zapewne nawet symboliczny dolar wygenerowałby większą kwotę niż powyższa nagroda.

Redaktor działu aktualności WebSecurity.pl. Pasjonat komputerów od czasów epoki "bezmyszkowej".

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *