21:29
11/8/2010

“Błąd” w formularzu logowania do serwisu Facebook pozwala wyciągnąć imię, nazwisko i zdjęcie dowolnej osoby po podaniu jej e-maila. Facebook pokaże te informacje niezależnie od tego, czy użytkownik zastrzegł ich pokazywanie w opcjach prywatności czy nie.

Jak sprawdzić kto kryje się za danym e-mailem?

Wystarczy wpisać go w formularzu do logowania wraz z jakimkolwiek hasłem, a naszym oczom ukaże się:

W końcu wiemy, kto jest dupą na GMailu ;)

Użytkownicy nie mogą zabezpieczyć się przed “zbieraniem” ich danych w ten sposób przy pomocy Facebookowych ustawień prywatności. Facebook co prawda chroni się przed masową zbiórką danych tą metodą wyświetlając captchę po kilku nieudanych próbach podania hasła — ale wystarczy zmiana adresu IP (proxy, TOR, reset neostrady), i już można próbować dalej…

Błąd na Facebooku

Ta “luka” to błąd typu “business logic”, który może zostać wykorzystany do ataków takich jak social-engineering czy phishing (bo nie zawsze mając e-mail, znamy czyjeś imię i nazwisko) albo po prostu do sprawdzenia, czy dana osoba posiada konto na Facebooku.

Ta ciekawa funkcja Facebooka może też pomóc osobom, które są prześladowane przez “internetowych anonimów” (o ile anonimy były na tyle nieroztropne, żeby założyć konto na Facebooku na ten sam e-mail, z którego nękają swoją ofiarę). Jest duża szansa, że osoba, która w kontaktach z nami legitymuje się tylko adresem e-mail, tak jak 500 milionów innych ludzi, posiada konto na Facebooku — a poznanie jej imienia i nazwiska oraz zdjęcia możne nam skutecznie przypomnieć, skąd nas zna i czego chce ;)

Czy znowu ktoś nazwie to wyciekiem danych?

Jeśli tak, to na pewno będzie miał do tego większe prawo niż poprzednim razem, kiedy to ktoś zebrał publicznie dostępne dane wszystkich użytkowników Facebooka (takie jak imię, nazwisko i zdjęcie).

Przed tamtym “zbieractwem” dało się zabezpieczyć poprawnie konfigurując opcje prywatności — no i nie było możliwości poznania czyjegoś e-maila. Obecny “atak” jest więc znacznie ciekawszy… Facebook pod presją “złej prasy” pewnie szybko go poprawi. Korzystajcie póki możecie… ;)

P.S. Umieszczając coś w internecie, zawsze zakładaj, że ktoś to zobaczy.

Przeczytaj także:

36 komentarzy

Dodaj komentarz
  1. Ciekawe… Ja tworząc pierwszą stronę Internetową z formularzem logowania doszedłem do wniosku, że zbyt szczegółowe komunikaty o niepowodzeniu logowania to zły pomysł, bo ułatwia atak. Jestem zwykłym małym żuczkiem klepiącym stronki w pehape i majeskuel… Taka strona i taka wtopa… Szkoda, że jeszcze nie podpowiadają hasła.

  2. Pisałem o tym 1 maja na blipie ( http://blip.pl/s/72499741 ), jednak nikt tego nie zauważył. I ja wtedy pomyślałem, że to feature – nie zdawałem sobie sprawy, że zaraz powstaną boty zbierające gigabajty zdjęć… ;-)

    • @dune: ja kojarzę kogoś (ale jeszcze nie odnalazłem go w archiwum poczty), kto pisał do nas jakieś 2 mce temu, że w podobny sposób można wyciągnąć zdjęcie i nazwisko facebookowicza — tylko wtedy chyba ta funkcja wyglądała inaczej i trzeba było wpisać hasło 3 razy źle, potem captche i dopiero przy opcji sugerującej “reset” hasła pojawiały się dane.

  3. @Piotr: całkiem możliwe, że tak było. Pamiętam, że skusiłem się i wpisałem 3 razy złe hasło podając maila znajomego i ujrzałem jego imię i nazwisko (o zdjęciu nie pamiętam). Teraz każdy drobiazg na facebook-u będzie nagłaśniany, a co za tym idzie, popularność serwisu zwiększy się – wszak nie są to MEGA-SUPER-TAJNE-DANE. Ja na przykład mam w zdjęciu profilowym swojego avatara – guess why. :-)

  4. Logowanie nie powinno się odbywać z wykorzystaniem loginu z innego portalu, np. email

  5. Zdjęć chyba nie pokazuje, przynajmniej mi nie pokazało (tylko domyślna ikona).

    Nawet jest informacja o użyciu starego hasła:
    “Użyłeś starego hasła
    Twoje hasło zostało zmienione o: 15 maj 2010 o 10:13
    Do you remember making this change?
    Tak/Nie”

  6. ja do dzisiaj dostaję maile na mój adres, chociaż skierowane do innej osoby zarejestrowanej na Fb, która podała takiego samego maila. tylko, że ja nie potwierdziłem adresu email gdy Fb tego chciał. może to właśnie związane z podobnym problemem jaki opisujecie

  7. Sprawdziłem swój mail, na który przyszło kiedyś zaproszenie od któregoś ze znajomych, a na który nigdy nie zapisywałem się do facebooka. Podał moje imię i nazwisko… :-\

  8. Wbrew pozorom błąd dla mnie okazał się bardzo pożyteczny;) Można sprawdzić kto z zapisanych na listę mailigową radia internetowego które prowadzę ma konto na facebooku i kto to jest(w zależności od ustawień prywatności) ;)

  9. Co za żenada …

  10. Czyzby wlasnie cos zostalo zmienione? Godzine temu jeszcze pojawialy mi sie informacje a teraz zamiast “Login as:” mam pole “Email:”.
    Well, it was fun while it lasted.

  11. @Piotr: Nie, nic jeszcze nie zmieniono. Tylko “Login As” na “E-mail”. Może masz innego Facebook-a? :P

  12. moim zdaniem to zależy od ustawień prywatności, mam profil, którego nie można w żaden sposób wyszukać po zalogowaniu, po wpisaniu maila i logowania, nie wyświetlają się informacje o kontakcie
    z koleji mój prywatny profil jest z domyślnymi ustawieniami o takie informacje mi się wyświetlają, sprawdzałem też na kilku komputerach
    ten sam profil którego imię i nazwisko, wyświetla mi się na moim komputerze, nie wyświetla się na komputerze innej osoby
    więc albo jakieś cache i cały ten post niepotrzebny, albo już załatane
    proszę spróbójcie krzysiek at securityfocus. pl albo myssei at gmail. com jeżeli się Wam uda proszę o screen na pierwszego maila

  13. Feature nadal działa, tylko że teraz trzeba 3x źle się zalogować, odpowiedzieć na captche i pojawia się piękna stronka ze zdjęciem podpisanym imieniem i nazwiskiem i pytanie: Czy to Ty? :) Szczerze mówiąc, to zdjęcie mogłoby być większe… Ale mimo wszystko jeszcze działa i o ile nie nada się już za bardzo do harvestowania danych, to do sprawdzenia kilku(nastu) osób jak najbardziej… Morał? dodatkowe adresy email na portale społecznościowe, lub chociaż wpisywane w formacie login+suffix@domena.pl. Każdy zgodny z RFC5322/RFC3696 MTA dostarczy to prawidłowo, a sam adres jest trudniejszy do zgadnięcia, o ile jest inny suffix dla każdego portalu. Przy okazji łatwo zobaczymy skąd wypłynął nasz email jak zaczniemy dostawać spam :)

  14. Gdzie tu halo? Jeśłi masz słabe (a większość użytkowników ma) ustawienia prywatności na FB to zwykły wujek gugiel indeksuje z niego tyle danych, że głowa boli…

  15. o czym wy w ogole piszecie? chyba gorzej wam.
    po emailu mozna najnormalniej w swiecie wyszukac osobe od zawsze, za pomoca wyszukiwarki. tak samo jest opcja importowania kontakow z roznych serwisow emailowych zeby odnalesc znajomych.
    bedziecie kombinwoac z proxy czy torem zeby wpisywac bledne haslo, zamiast jak normalny czlowiek wpisac emaila w wyszukiware. ten news to poziom dna.

  16. Kolos na glinianych nogach znowu ma problem z bezpieczeństwem :> I to jest jeden z powodów, dla którego nie mam takich kont. Już i tak trudno odróżnić tych “prawdziwych” od tych “internetowych”, jeszcze brakuje, żeby mnie na FB namierzyli.

  17. Czyżby to też było zbytnio przereklamowane? Przecież facebook daje możliwość wyszukania znajomych po mailu – wystarczy konto jakieś fake założyć i dodać e-mail i użyć wyszukiwarki na facebooku – voila.
    To samo z naszą-klasą, plik tekstowy z jednym numerem gg załadować jako lista i też voila

  18. ‘patryk’ ma trochę racji – co z tego, że podając maila poznamy imię i nazwisko oraz zdjęcie (TYLKO profilowe, czyli avatara) ? FB ma wyszukiwarkę, gdzie podając maile wyszuka nam t osoby w portalu i będziemy mieli dostęp do tych samych danych.
    Poprawcie mnie jeśli się mylę, ale news jest ‘trochę’ przesadzony.
    Jaki wyciek danych ? Chodzi o to, że można dostać te dane bez posiadania konta na FB ? I przy użyciu wielu adresów IP czy korzystając z jakiegoś botnetu ? Przecież to zupełnie bez sensu… Szybciej będzie założyć lewe konto na FB i użyć wyszukiwarki…

    PS. Te dane są PUBLICZNIE DOSTĘPNE i na ich publikowanie zgadzamy się zakładając konto na FB – więc o co chodzi !?

    • @Torwald, @Patryk: Nie macie (niestety) racji Panowie — przed metodą (drogi Facebooku, masz tu moją listę kontaktów/hasło do gmaila/etc i wyszukiaj mi przyjaciół) można się ochronić — wyłączyć pokazywanie naszego profilu w wynikach wyszukiwania (przy pomocy opcji prywatności). Przed opisanym w artykule sposobem nie. I to jest ta kolosalna różnica ;-) Patrz P.S.

  19. Ja nie widzę żadnych zmian

  20. @Torwald A o to chodzi, że czasem posiadasz na Facebook-u nazwę użytkownika, która może być identyczna z Twoim nickiem w innych serwisach. Może akurat nie Ty, ale na pewno znajdzie się stado takich osób. A wtedy wystarczy tylko wklepać nicka z forum, żeby zobaczyć, jak ktoś się nazywa. A avatar w tym przypadku tylko potwierdzi takie informacje. Myślisz, że te dane też są publicznie dostępne?

    Nie widzicie prawdziwych luk. To jest poważny błąd ze strony Facebook-a.

  21. @dune: To zdecyduj sie: albo nic nie zmieniono, albo pojawia ci sie pole “E-mail” (czyli zmieniono :P)

    @Patryk @torwald: tak, ale zdaje sie mozna zazyczyc sobie by wyszukiwarka FB nas nie indeksowala. Wtedy pozostawal tylko opisana powyzej metoda.

  22. @Piotr – ok, czyli gdzieś jest opcja, żeby nikt nie mógł nas znaleźć, czy to po danych osobowych czy emailu. A teraz mi powiedz, ile jest takich osób ? 5% ? Pewnie nawet nie…
    Jeśli ktoś nie chce być znaleziony na FB, to niech nie zakłada konta albo założy je na lipne dane. Proste. Płakanie z powodu MOŻLIWOŚCI ujawnienia imienia, nazwiska i fotki profilowej jest śmieszne…

  23. najlepsze jest to nowe (nie wiem czy nowe ale natknąłem sie dopiero wczoraj) zabezpieczenie przeciw logowaniu z innego komputera niz zwykle.
    (Ostatnio złapałem małego zonka z tego powodu ale to juz inna historia)
    Nie wiem jaki to ma zasięg ale napewno działa jak logujemy sie z innego kraju, mozna uzyc jakies elite proxy i sobie sprawdzic .
    Wtedy zaczyna sie zabawa w facebookowy quiz :)
    Nieźle pomyślane :)

    ps:z tego co zauważyłem system rejestruje lokacje pierwszego podejrzanego logowania

  24. Redakcjo niebezpiecznika – z calym szacunkiem – robicie sensacje z niczego. Blad znany bardzo dlugo, widoczny kazdemu uzytkownikowi, ktory czasem moze sie pomylic, tak naprawde niegrozny w ogole jest opisywany przez was jako blad stulecia do wykradania danych 500 milionow uzytkownikow. Chore. Proponowalbym naprawde ruszyc sie i poszukac czegos mocnego, czegos po czym powiem no, redakcja niebezpiecznika sie postarala znajdujac taki blad i wtedy bede chylil czola. A tak, publikujecie bzdurne bledziki podsylane przez jasia gimnazjaliste. Wystarczy troche wiedzy, napisania kilku prostych botow do automatycznego szukania, podania na target cos rzadowego badz popularniejszego i macie hot news. Pozdrawiam

    • @rtgn: ten blad nie zostal opisany jak blad stulecia, pozdrawiam.

  25. @Piotr Konieczny jezeli tak faktycznie jest to sorry, wycofuje swoj komentarz, ale w artkule jednak powinno byc o tym napisane, ze ten blad pozwala odkryc tozsamosc osob ktore zbanowaly wyszukiwarke.

    mnie bardziej interesuje inny bug na facebooku, ostatnio na pewnym forum pojawil sie ktos kto powiedzial dawajcie mi linki do profilow z zablokowanymi fotkami, a dostarcze wam te fotki i faktycznie ludzie dawali takie linki a on dawal linki do zablokowanych fotkek (bezposrednio do .jpg). Nie chcial zdradzic swojej metody jedyne co napisal to ze jest to zwiazane z API i ze sam odkryl ten bug.

    • @patryk – w artykule to jest napisane…

  26. u mnie zadziałał po prostu ten link zamiast trzykrotnego złego hasła
    https://login.facebook.com/login/help.php?email=stefan%40gmail.comst=ambiguous

  27. Dziwne. Cofam to co napisalem wczesniej: dzisiaj sprawdzilem ponownie i ZNOWU me piekne oczy ujrzaly zdjecia profilowe nalezace do testowanych emaili. W sumie to dobrze ;)

  28. @Piotr: ja chyba wysłałem tego maila, albo napisałem i nie wysłałem bo pomyślałem, że to feature

  29. Dlatego właśnie nie lubię takiego badziewia jak Facebook :]

  30. przeglądając ten temat, z ciekawości sprawdziłem…facebook nie naprawił tego błędu, czyli “it’s not a bug, it’s a feature”

  31. Marcin mikulski mowi wam to cos? dane z dupa@gmail :D

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.