Prečo by si už nemal posie­lať odkazy cez Face­book

Timotej Vančo / 24. júl 2016 / Zaujímavosti

Aj ty pra­vi­delne zdie­ľaš a posie­laš linky cez Mes­sen­ger všet­kým pria­te­ľom? Možno s tým po tomto článku pre­sta­neš.

Nie­koľko dní dozadu vedci z Check­po­intu obja­vili dieru v sys­téme Face­bo­oku, kde sa skú­sení hac­keri vedia dostať a pozme­niť správy a linky cez Mes­sen­ger. Face­book to po tomto objave okam­žite rie­šil a opra­vil chybu. Ale vedel si, že link odo­slaný pria­te­ľovi cez súkromnú správu môže byť čítaný hoci­kým? Face­book o tom vie a nejako sa nechystá to meniť.

Ako to fun­guje s link-ami na face­bo­oku

Keď odo­sie­laš nový link do správy kamo­šovi, Face­book si pozrie zdie­ľanú stránku linku, vytiahne nad­pis, popis a minia­túrny obrá­zok ku kto­rým pri­radí jedi­nečný iden­ti­fi­ká­tor a túto infor­má­ciu si uloží. Pri ďal­šom pre­ze­raní tohto linku, Face­book už iba vytiahne infor­má­ciu z data­bázy. S tým by nebolo nič zlé, ak by to ale bolo držané v taj­nosti.

1-l3bCMT-7m0WUclA_u1ggCA

Hra čísiel

Všetky objekty ulo­žené na Face­bo­oku, či už obrá­zok, sta­tus alebo link, sú ulo­žené pod špe­ciál­nym, nech­ro­no­lo­gic­kým iden­ti­fi­kač­ným čís­lom. Mark Zuc­ker­berg má číslo objektu 4.

1-2461eT4gFB7fcJvzTRG85g1-zkeOVecRIPuAsfHpH-wuKQ

Každý deve­lo­per môže zis­tiť jeho číslo objektu cez Face­book API, ktoré mu vráti všetky poža­do­vané infor­má­cie, ale jedine ak má do neho prí­stup. To zna­mená, že nemô­žeš zis­tiť číslo objek­tov iných pou­ží­va­te­ľov bez ich povo­le­nia. Logické, či?

Ak to vyskú­šaš, môžeš dostať infor­má­cie typu – objekt neexis­tuje alebo nemáš povo­le­nie.

1-WYGpXt27sFgZvAUkBQ3xdQ

Pou­ží­va­teľ Inti De Ceuke­laire to skú­sil a tu je jeho návod.

Keď som si už mys­lel, že sa vzdám, zrazu sa obja­vil link, ktorý fun­go­val.“

1-clNcu6P6NwjqaLT0YTpAQQ

Potom som do žia­dosti pri­dal ‚URL‘ a spý­tal sa Face­bo­oku, či by bol na toľko milý, aby mi uká­zal aj adresu. Na môj úžas to fun­go­valo!“

1-FIEAjFgIQgw113m7wJks6A (1)

V tomto bode ma napadlo, či by som tiež mohol zobra­ziť linky, ktoré boli poslané v súkrom­ných sprá­vach. Spý­tal som sa pria­teľa Basa, či mi pomôže. Vytvo­rili sme Google doku­ment a súkromne sme zdie­ľali link. Toto sme dostali:“

1-T39y1n1IbobcawQsGPfmvA

Potom som pove­dal Basovi, aby pou­žil Face­book Mes­sen­ger a odo­slal si tento link a následne naň kli­kol.“

1-ccsgqr5jn1pnAWnxGaypHw

Keď ho Bas otvá­ral, link už bol dávno ulo­žený v data­báze Face­bo­oku. Požia­dal som ho, aby pou­žil Face­book debug­ger a zis­til iden­ti­fi­kačné číslo objektu a posky­tol mi ho“

1-2461eT4gFB7fcJvzTRG85g

Prog­ram tak­tiež uká­zal aj iden­ti­fi­kačné číslo pri­ra­dené k sta­tusu1-Aasp7dK4js8xKnVCnYiX4Q

Späť k môjmu účtu. Keď som sa pokú­sil o pri­po­je­nie na uve­dené číslo, vysko­čila mi hneď aj URL adresa“

1-nP-jYN0VQQGpp5lds39WQw

O chvíľu neskôr som bol schopný zís­kať prí­stup k dôver­ným doku­men­tom:“

1-gwuSMECwfo-tMI19wdEZAQ

Sna­žil som sa zis­tiť, či je to možné apli­ko­vať aj na ďal­ších ľudí. Napí­sal som krátky script, ktorý vezme aké­koľ­vek iden­ti­fi­kačné číslo, bude ho zvy­šo­vať a bude hľa­dať ďal­šie linky. Fun­go­valo to:“

1-Ptas3fYUxZG3MHk1QJUR1g

Aj keď výsle­dok neob­sa­ho­val ID pou­ží­va­teľa, ktorý link zdie­ľal, bol som schopný nie­kto­rých iných iden­ti­fi­ko­vať, práve kvôli ich uží­va­teľ­ským ID – čís­lám pri­ra­de­ným ich účtu, boli pri­ra­dené k linku.

Prečo je to veľký prob­lém

Aj keď môžeš zdie­ľať linky vtip­ných mačiek, mal by si si byť tejto mož­nosti straty infor­má­cií vedomí. Nie­kedy sú aj cit­livé infor­má­cie pri­dané k lin­kom bez toho, aby si o tom vedel. Stačí ak sa pozrieš na tento tes­to­vací obrá­zok.

1-ZwGpXDl4Xuv01AZJIK9AZg

V tomto malom zozname vybra­tých URL som našiel zopár zau­jí­ma­vých infor­má­cií“

  • Mená: Heat­her, Jenny, Paula, Yol­landa, Ber­nardo…
  • Poloha alebo jazyk
  • Prí­lohy alebo obrázky z FB CDN: linky priamo poslané pria­te­ľovi, môžu nie­kedy umož­ňo­vať obchá­dza­nie ochrany osob­ných úda­jov
  • Apli­ká­cie alebo herné údaje: nie­ktoré infor­má­cie ako frien­d_le­vel, frien­d_chips, use­r_name, group, ste­a­l_a­mount, …
  • Tajné alebo scho­vané linky: naprí­klad linky edi­tač­ných súbo­rov Google doc, linky ukry­tých webov alebo beta ver­zie pro­stredí

Odpo­veď Face­bo­oku

Túto zále­ži­tosť som rie­šil aj s Face­bo­okom a toto je ich ofi­ciálna odpo­veď.“

1-dbfwB4eAfN_bDKiHHBZgKw

Pria­teľ­ský ako vždy. V pod­state odpo­ve­dali, že to nebudú rie­šiť. “Bol som zmä­tený: Ako toto môže Face­book dovo­liť? Aj keď nie je reálne, aby si sa dostal cez linky na pria­meho pou­ží­va­teľa, môžeš sa v tom hra­bať celý deň a určite na niečo natra­fíš.”

zdroj článku: medium.com/Inti De Ceuke­laire, zdroj foto­g­raií: medium.com/Inti De Ceuke­laire, zdroj titul­nej fotografie:buzzfeed.com

Pridať komentár (0)