Pre­čo by si už nemal posie­lať odka­zy cez Face­bo­ok

Timotej Vančo / 24. júla 2016 / Zaujímavosti

Aj ty pra­vi­del­ne zdie­ľaš a posie­laš lin­ky cez Mes­sen­ger všet­kým pria­te­ľom? Mož­no s tým po tom­to člán­ku pre­sta­neš.

Nie­koľ­ko dní doza­du ved­ci z Check­po­in­tu obja­vi­li die­ru v sys­té­me Face­bo­oku, kde sa skú­se­ní hac­ke­ri vedia dostať a pozme­niť sprá­vy a lin­ky cez Mes­sen­ger. Face­bo­ok to po tom­to obja­ve okam­ži­te rie­šil a opra­vil chy­bu. Ale vedel si, že link odo­sla­ný pria­te­ľo­vi cez súkrom­nú sprá­vu môže byť číta­ný hoci­kým? Face­bo­ok o tom vie a neja­ko sa nechys­tá to meniť.

Ako to fun­gu­je s link-ami na face­bo­oku

Keď odo­sie­laš nový link do sprá­vy kamo­šo­vi, Face­bo­ok si pozrie zdie­ľa­nú strán­ku lin­ku, vytiah­ne nad­pis, popis a minia­túr­ny obrá­zok ku kto­rým pri­ra­dí jedi­neč­ný iden­ti­fi­ká­tor a túto infor­má­ciu si ulo­ží. Pri ďal­šom pre­ze­ra­ní toh­to lin­ku, Face­bo­ok už iba vytiah­ne infor­má­ciu z data­bá­zy. S tým by nebo­lo nič zlé, ak by to ale bolo drža­né v taj­nos­ti.

1-l3bCMT-7m0WUclA_u1ggCA

Hra čísiel

Všet­ky objek­ty ulo­že­né na Face­bo­oku, či už obrá­zok, sta­tus ale­bo link, sú ulo­že­né pod špe­ciál­nym, nech­ro­no­lo­gic­kým iden­ti­fi­kač­ným čís­lom. Mark Zuc­ker­berg má čís­lo objek­tu 4.

1-2461eT4gFB7fcJvzTRG85g1-zkeOVecRIPuAsfHpH-wuKQ

Kaž­dý deve­lo­per môže zis­tiť jeho čís­lo objek­tu cez Face­bo­ok API, kto­ré mu vrá­ti všet­ky poža­do­va­né infor­má­cie, ale jedi­ne ak má do neho prí­stup. To zna­me­ná, že nemô­žeš zis­tiť čís­lo objek­tov iných pou­ží­va­te­ľov bez ich povo­le­nia. Logic­ké, či?

Ak to vyskú­šaš, môžeš dostať infor­má­cie typu – objekt neexis­tu­je ale­bo nemáš povo­le­nie.

1-WYGpXt27sFgZvAUkBQ3xdQ

Pou­ží­va­teľ Inti De Ceuke­lai­re to skú­sil a tu je jeho návod.

Keď som si už mys­lel, že sa vzdám, zra­zu sa obja­vil link, kto­rý fun­go­val.“

1-clNcu6P6NwjqaLT0YTpAQQ

Potom som do žia­dos­ti pri­dal ‚URL‘ a spý­tal sa Face­bo­oku, či by bol na toľ­ko milý, aby mi uká­zal aj adre­su. Na môj úžas to fun­go­va­lo!“

1-FIEAjFgIQgw113m7wJks6A (1)

V tom­to bode ma napad­lo, či by som tiež mohol zobra­ziť lin­ky, kto­ré boli posla­né v súkrom­ných sprá­vach. Spý­tal som sa pria­te­ľa Basa, či mi pomô­že. Vytvo­ri­li sme Goog­le doku­ment a súkrom­ne sme zdie­ľa­li link. Toto sme dosta­li:“

1-T39y1n1IbobcawQsGPfmvA

Potom som pove­dal Baso­vi, aby pou­žil Face­bo­ok Mes­sen­ger a odo­slal si ten­to link a násled­ne naň kli­kol.“

1-ccsgqr5jn1pnAWnxGaypHw

Keď ho Bas otvá­ral, link už bol dáv­no ulo­že­ný v data­bá­ze Face­bo­oku. Požia­dal som ho, aby pou­žil Face­bo­ok debug­ger a zis­til iden­ti­fi­kač­né čís­lo objek­tu a posky­tol mi ho“

1-2461eT4gFB7fcJvzTRG85g

Prog­ram tak­tiež uká­zal aj iden­ti­fi­kač­né čís­lo pri­ra­de­né k sta­tu­su1-Aasp7dK4js8xKnVCnYiX4Q

Späť k môj­mu účtu. Keď som sa pokú­sil o pri­po­je­nie na uve­de­né čís­lo, vysko­či­la mi hneď aj URL adre­sa“

1-nP-jYN0VQQGpp5lds39WQw

O chví­ľu neskôr som bol schop­ný zís­kať prí­stup k dôver­ným doku­men­tom:“

1-gwuSMECwfo-tMI19wdEZAQ

Sna­žil som sa zis­tiť, či je to mož­né apli­ko­vať aj na ďal­ších ľudí. Napí­sal som krát­ky script, kto­rý vez­me aké­koľ­vek iden­ti­fi­kač­né čís­lo, bude ho zvy­šo­vať a bude hľa­dať ďal­šie lin­ky. Fun­go­va­lo to:“

1-Ptas3fYUxZG3MHk1QJUR1g

Aj keď výsle­dok neob­sa­ho­val ID pou­ží­va­te­ľa, kto­rý link zdie­ľal, bol som schop­ný nie­kto­rých iných iden­ti­fi­ko­vať, prá­ve kvô­li ich uží­va­teľ­ským ID – čís­lám pri­ra­de­ným ich účtu, boli pri­ra­de­né k lin­ku.

Pre­čo je to veľ­ký prob­lém

Aj keď môžeš zdie­ľať lin­ky vtip­ných mačiek, mal by si si byť tej­to mož­nos­ti stra­ty infor­má­cií vedo­mí. Nie­ke­dy sú aj cit­li­vé infor­má­cie pri­da­né k lin­kom bez toho, aby si o tom vedel. Sta­čí ak sa pozrieš na ten­to tes­to­va­cí obrá­zok.

1-ZwGpXDl4Xuv01AZJIK9AZg

V tom­to malom zozna­me vybra­tých URL som našiel zopár zau­jí­ma­vých infor­má­cií“

  • Mená: Heat­her, Jen­ny, Pau­la, Yol­lan­da, Ber­nar­do…
  • Polo­ha ale­bo jazyk
  • Prí­lo­hy ale­bo obráz­ky z FB CDN: lin­ky pria­mo posla­né pria­te­ľo­vi, môžu nie­ke­dy umož­ňo­vať obchá­dza­nie ochra­ny osob­ných úda­jov
  • Apli­ká­cie ale­bo her­né úda­je: nie­kto­ré infor­má­cie ako frien­d_le­vel, frien­d_chips, use­r_na­me, group, ste­a­l_a­mount, …
  • Taj­né ale­bo scho­va­né lin­ky: naprí­klad lin­ky edi­tač­ných súbo­rov Goog­le doc, lin­ky ukry­tých webov ale­bo beta ver­zie pro­stre­dí

Odpo­veď Face­bo­oku

Túto zále­ži­tosť som rie­šil aj s Face­bo­okom a toto je ich ofi­ciál­na odpo­veď.“

1-dbfwB4eAfN_bDKiHHBZgKw

Pria­teľ­ský ako vždy. V pod­sta­te odpo­ve­da­li, že to nebu­dú rie­šiť. “Bol som zmä­te­ný: Ako toto môže Face­bo­ok dovo­liť? Aj keď nie je reál­ne, aby si sa dostal cez lin­ky na pria­me­ho pou­ží­va­te­ľa, môžeš sa v tom hra­bať celý deň a urči­te na nie­čo natra­fíš.”

zdroj člán­ku: medium.com/Inti De Ceuke­lai­re, zdroj foto­g­raií: medium.com/Inti De Ceuke­lai­re, zdroj titul­nej fotografie:buzzfeed.com

Pridať komentár (0)