Artykuły dotyczące tematu: Stephen Sclafani

dodany: 10.07.2013 | tagi: , , ,

Jak Facebook pomagał spamerom

0

Można powiedzieć, że Facebooku systematycznie odnajduje poważne błędy, które istnieją dłuższy okres. Tym razem opisywany problem dotyczy adresu e-mail potencjalnie wszystkich użytkowników serwisu.

Podczas procesu rejestracji użytkownik musi podać swój adres e-mail, na który zostaje później przesłana wiadomość z linkiem aktywującym konto. Właśnie ten adres można wydobyć, o ile znamy ID użytkownika. Pomóc nam może w tym zaproszenie od jakiegoś użytkownika.

Spobność tą odkrył Stephen Sclafani, który przeglądał swoje stare zaproszenia:

Przykładowe zaproszenie do Facebooka (źródło http://stephensclafani.com)

Przykładowe zaproszenie do Facebooka (źródło http://stephensclafani.com).

Jeśli klikniemy w link zawarty na końcu zaproszenia, zostaniemy przekierowani na stronę logowania serwisu:

Ekran logowania do FB z zaproszenia (źródło http://stephensclafani.com)

Ekran logowania do FB z zaproszenia (źródło http://stephensclafani.com).

Jak zapewne część z Was już się domyśla programiści Facebooka „dali ciała” właśnie w linku. Scalfani zauważył, że zawiera on dwa parametry: re oraz mid.

Przykładowy link wygląda następująco:

Modyfikacja pierwszego parametru nie zmienia niczego, natomiast drugiego już tak:

Ów numer jest dokładnie zaszyty pomiędzy dwoma literami G zaszytymi w ciągu, czyli w powyższym wypadku jest to 5af3107aba69. Jest on zapisany w systemie szesnastkowym.

Jeśli do linka z zaproszenia podstawimy dowolnie wybrany przez nas numer ID , to wyświetli się adres e-mail powiązany z profilem o podanym ID.

Taki mechanizm „zabezpieczeń” pozwalał w łatwy sposób na zdobycie dowolnego adresu e-mail, z czego napewno byli zadowoleni spamerzy. Na szczęście luka ta została już dawno naprawiona. Scalfani zgłosił problem administratorm Facebooka 22 marca tego roku i błąd został naprawiony w ciągu doby. W nagrodę za otrzymał 3500 dolarów amerykańskich.

Ciekawe, czy Facebook byłby tak samo skłonny zapłacić odszkodawanie za możliwość ujawnienia adresu e-mail pontecjalnym ofiarom luki. Zapewne nawet symboliczny dolar wygenerowałby większą kwotę niż powyższa nagroda.