Prečo by si už nemal posielať odkazy cez Facebook

  • Aj ty pravidelne zdieľaš a posielaš linky cez Messenger všetkým priateľom? Možno s tým po tomto článku prestaneš.
sub-buzz-3929-1468908768-4
  • Aj ty pravidelne zdieľaš a posielaš linky cez Messenger všetkým priateľom? Možno s tým po tomto článku prestaneš.

Niekoľko dní dozadu vedci z Checkpointu objavili dieru v systéme Facebooku, kde sa skúsení hackeri vedia dostať a pozmeniť správy a linky cez Messenger. Facebook to po tomto objave okamžite riešil a opravil chybu. Ale vedel si, že link odoslaný priateľovi cez súkromnú správu môže byť čítaný hocikým? Facebook o tom vie a nejako sa nechystá to meniť.

Ako to funguje s link-ami na facebooku

Keď odosielaš nový link do správy kamošovi, Facebook si pozrie zdieľanú stránku linku, vytiahne nadpis, popis a miniatúrny obrázok ku ktorým priradí jedinečný identifikátor a túto informáciu si uloží. Pri ďalšom prezeraní tohto linku, Facebook už iba vytiahne informáciu z databázy. S tým by nebolo nič zlé, ak by to ale bolo držané v tajnosti.

1-l3bCMT-7m0WUclA_u1ggCA

Hra čísiel

Všetky objekty uložené na Facebooku, či už obrázok, status alebo link, sú uložené pod špeciálnym, nechronologickým identifikačným číslom. Mark Zuckerberg má číslo objektu 4.

1-2461eT4gFB7fcJvzTRG85g 1-zkeOVecRIPuAsfHpH-wuKQ

Každý developer môže zistiť jeho číslo objektu cez Facebook API, ktoré mu vráti všetky požadované informácie, ale jedine ak má do neho prístup. To znamená, že nemôžeš zistiť číslo objektov iných používateľov bez ich povolenia. Logické, či?

Ak to vyskúšaš, môžeš dostať informácie typu – objekt neexistuje alebo nemáš povolenie.

1-WYGpXt27sFgZvAUkBQ3xdQ

Používateľ Inti De Ceukelaire to skúsil a tu je jeho návod.

„Keď som si už myslel, že sa vzdám, zrazu sa objavil link, ktorý fungoval.“

1-clNcu6P6NwjqaLT0YTpAQQ

„Potom som do žiadosti pridal ‚URL‘ a spýtal sa Facebooku, či by bol na toľko milý, aby mi ukázal aj adresu. Na môj úžas to fungovalo!“

1-FIEAjFgIQgw113m7wJks6A (1)

„V tomto bode ma napadlo, či by som tiež mohol zobraziť linky, ktoré boli poslané v súkromných správach. Spýtal som sa priateľa Basa, či mi pomôže. Vytvorili sme Google dokument a súkromne sme zdieľali link. Toto sme dostali:“

1-T39y1n1IbobcawQsGPfmvA

„Potom som povedal Basovi, aby použil Facebook Messenger a odoslal si tento link a následne naň klikol.“

1-ccsgqr5jn1pnAWnxGaypHw

„Keď ho Bas otváral, link už bol dávno uložený v databáze Facebooku. Požiadal som ho, aby použil Facebook debugger a zistil identifikačné číslo objektu a poskytol mi ho“

1-2461eT4gFB7fcJvzTRG85g

Program taktiež ukázal aj identifikačné číslo priradené k statusu1-Aasp7dK4js8xKnVCnYiX4Q

„Späť k môjmu účtu. Keď som sa pokúsil o pripojenie na uvedené číslo, vyskočila mi hneď aj URL adresa“

1-nP-jYN0VQQGpp5lds39WQw

„O chvíľu neskôr som bol schopný získať prístup k dôverným dokumentom:“

1-gwuSMECwfo-tMI19wdEZAQ

„Snažil som sa zistiť, či je to možné aplikovať aj na ďalších ľudí. Napísal som krátky script, ktorý vezme akékoľvek identifikačné číslo, bude ho zvyšovať a bude hľadať ďalšie linky. Fungovalo to:“

1-Ptas3fYUxZG3MHk1QJUR1g

Aj keď výsledok neobsahoval ID používateľa, ktorý link zdieľal, bol som schopný niektorých iných identifikovať, práve kvôli ich užívateľským ID – číslám priradeným ich účtu, boli priradené k linku.

Prečo je to veľký problém

Aj keď môžeš zdieľať linky vtipných mačiek, mal by si si byť tejto možnosti straty informácií vedomí. Niekedy sú aj citlivé informácie pridané k linkom bez toho, aby si o tom vedel. Stačí ak sa pozrieš na tento testovací obrázok.

1-ZwGpXDl4Xuv01AZJIK9AZg

„V tomto malom zozname vybratých URL som našiel zopár zaujímavých informácií“

  • Mená: Heather, Jenny, Paula, Yollanda, Bernardo…
  • Poloha alebo jazyk
  • Prílohy alebo obrázky z FB CDN: linky priamo poslané priateľovi, môžu niekedy umožňovať obchádzanie ochrany osobných údajov
  • Aplikácie alebo herné údaje: niektoré informácie ako friend_level, friend_chips, user_name, group, steal_amount, …
  • Tajné alebo schované linky: napríklad linky editačných súborov Google doc, linky ukrytých webov alebo beta verzie prostredí

Odpoveď Facebooku

„Túto záležitosť som riešil aj s Facebookom a toto je ich oficiálna odpoveď.“

1-dbfwB4eAfN_bDKiHHBZgKw

Priateľský ako vždy. V podstate odpovedali, že to nebudú riešiť. „Bol som zmätený: Ako toto môže Facebook dovoliť? Aj keď nie je reálne, aby si sa dostal cez linky na priameho používateľa, môžeš sa v tom hrabať celý deň a určite na niečo natrafíš.“

zdroj článku: medium.com/Inti De Ceukelaire, zdroj fotograií: medium.com/Inti De Ceukelaire, zdroj titulnej fotografie:buzzfeed.com

Najnovšie video

Fontech

ĎALŠIE ČLÁNKY Z FONTECH.SK

Fontech