10:36
3/11/2012

Niby nic strasznego, bo są to standardowe e-maile o treści “X chce cię dodać do znajomych na Facebooku” i poza informacją o potencjalnej znajomości pomiędzy dwoma osobami, niczego innego nie da się z nich wywnioskować. Ale czy aby na pewno? Wiadomości te zawierają także linki automatycznie logujące do Facebooka. Każdego. Na konto odbiorcy…

Facebook postawił user experience wyżej niż bezpieczeństwo

Abstrahując od tego, jakim cudem ktoś może dopuścić do zaindeksowania treści swoich prywatnych e-maili przez Google, to niestety trzeba Facebookowi wytknąć, iż konstruuje swoje wiadomości (“zwane powiadomieniami”) w niezbyt bezpieczny sposób.

  • Używane w linku tokeny nie są jednorazowe.
    Poprzez linki wysyłane przez Facebooka można automatycznie zalogować się na dane konto “przez jakiś czas” (dokładnie takiego zwrotu użył jeden z pracowników Facebooka wyjaśniający ten mechanizm).
  • Kliknięcie na link wypełnia formularz logowania e-mailem użytkownika.
    Te z linków, które nie logują automatycznie na konto, wypełniają formularz logowania e-mailem właściciela konta. Będzie to przydatne w sytuacji, kiedy mamy dostęp do linku z facebookowego powiadomienia, ale nie znaliśmy e-maila odbiorcy takiego powiadomienia.

Taką “sytuację” możemy sobie “wytworzyć” sami…

Jak wyszukiwać powiadomienia Facebooka?

Zaindeksowane linki autologujące do Facebooka

Zaindeksowane linki autologujące do Facebooka

Powiadomienia z Facebooka z autologującymi linkami można znaleźć odpytując wyszukiwarkę:
site:facebook.com bcode n_m mid
lub
“wants to be friends” “facebook” “If you don’t want to receive” site:blogspot.com

Google już usunął większość z nich z indeksu (ale nie wszystkie). Facebook natomiast tymczasowo całkowicie wyłączył mechanizm autologowania przy pomocy tego typu linków.

Na marginesie, cała historia zaczęła się od tego, że jeden z internautów otrzymał linka do powiadomienia z grupy na Facebooku od swojego kolegi. Link wyglądał tak:
http://www.facebook.com/n/?groups%[id]%2Fpermalink%[id]%2F&mid=[id]&bcode=[id]-mjoi&n_m=[email]
…a po jego kliknięciu, internauta został automatycznie zalogowany na konto kolegi. Potem zaczął szukać w Google linków z parametrami bcode &email n_m i mid.

Jakim cudem wyszukiwarki zaindeksowały treści prywatnych e-maili?

Na koniec wróćmy do indeksowania treści e-maili przez Google. Za błąd najprawdopodobniej odpowiedzialna jest funkcja “zapostuj przez e-mail“, spotykana na platformach blogowych (np. Blogger) oraz podobne rozwiązania stosowane na grupach dyskusyjnych… Sporo z ujawnionych e-maili należało także do tymczasowych, webowych skrzynek e-mail (np. asdasd.ru), które z racji braku uwierzytelnienia, są traktowane przez Google jak zwyczajne strony internetowe:

Recovery Email Facebook

Recovery Email z Facebooka na jednej z publicznie dostępnych skrzynek e-mail

Nie sądzę, żeby problem związany z użytkownikami “tymczasowych skrzynek” był znaczący — internauci wykorzystują tymczasowe skrzynki w celach “szybkiej” rejestracji do serwisów, w których w rzeczywistości kont nie potrzebują, ale chcą np. zobaczyć jeden z obrazków dostępnych tylko i wyłącznie dla zalogowanych internautów. Większość z tych kont to pewnie i tak konta–widmo.

Trochę gorzej sprawa ma się jednak z właścicielami blogów na Blogger.com, którzy użyli swojego “bloggerowego” e-maila do rejestracji na Facebooku… Co ciekawe, gdyby *ktoś* poznał te skojarzone z Bloggerem e-maile mógłby wysłać na nie albo spam albo złośliwy JavaScript — zostałoby to automatycznie opublikowane…

Podsumowując, założenia Facebooka o zwiększeniu wygody kosztem bezpieczeństwa były w ich opinii jak najbardziej słuszne biznesowo — po prostu nikt z Facebooka nie przewidział, że prywatna poczta może znaleźć się w wynikach wyszukiwania na skutek, nazwijmy to, lekkomyślności użytkowników… Ups.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

17 komentarzy

Dodaj komentarz
  1. Failbook

  2. Co z tego, że wyłączyli automatyczne logowanie skoro mając dostęp do maila (czyt. bloga) można zmienić hasło.
    UserFail na całości – tak to jest gdy ludzie nie rozumieją funkcjonalności z jakiej korzystają.

  3. Taki tam negatywny ficzer.

  4. Znów wychodzi na to, że opłaca się być paranoikiem i wysyłając linki znajomym warto wycinać wszystko co jest podejrzane z takiego odnośnika. A dopuszczenie do zindeksowania wcale nie jest trudne, pewnie wystarczy, że ktoś taki odnośnik wrzucił do skracacza lub opublikował na blogu/twitterze.

    Sam nigdy nie zwróciłem uwagi na to czy powiadomienia wysyłane przez FB posiadają jakiś dodatkowy token. Bo szczerze mówiąc gdybym miał analizować każdy URL to życia by mi nie starczyło…

  5. It’s not a bug it’s a feature

  6. Najlepsze że nie mam konta na fb i nigdy nie miałem a też czasem zdarzy mi się dostać spam od fb na gmaila, oczywiście wszystko ląduje w koszu ze spamem.

    Pytanie jedno, skoro “Wiadomości te zawierają także linki automatycznie logujące do Facebooka. Każdego. Na konto odbiorcy…” to jak mają mnie zalogować skoro nie mam i nie miałem konta?

    • Ty konta nie masz… ale Facebook ma konta wszystkich ludzi, jacy żyją i urodzą się w przyszłości.

  7. Mam nieodparte wrażenie, że to jest jakaś puszka pandory. Facebook nie jest jedynym serwisem z autologowaniem. Poza tym nie tylko takie maile nie powinny być indeksowane.
    Przykład: http://justagirlatl.blogspot.com/
    Link do hasła już dawno przeterminowany, zresztą ‘Jenny’ hasło zmieniła, ale jeżeli samemu posiada się konta na tego typu serwisach to wystarczy sobie wysłać przypomnienie / zaproszenie a następnie wkleić do Google odpowiedni tekst.

    No chyba, że czegoś nie łapię …

  8. Wlasnie cos wymyslilem. Odnosnik “data:text/url;base64,…” zawierajacy ukryty link do resetu hasla. Jakby cos wymyslic, mozna by pewnie w ten sposob zmienic tez maila, na ktory link zostanie wyslany…

  9. A to dlatego dziś jakoś od 2 do 4 rano facebook był wyłączony, tj. tylko jakiś komunikat o błędzie na głównej stronie.

  10. szkoda ze sie wydało. a taki fajny sposób na datamining e-maili był :(

  11. @Piotr – dane studentek celem mass-mailingu podrywowego? ;)

  12. Automatyczne logowanie tez ma swoje plusy dodatnie :) , zwróciła się do mnie o pomoc pewna kobieta która podejrzewała że mąż ją zdradza, znała hasło do poczty męża. Po zalogowaniu się pojawiły się wiadomości z portali oferujące “zawarcie znajomości” po kliknięciu w link , automatycznie przenosiło do działu wiadomości na w/w portalu .Kobieta się zszokowała .

    • Znając hasło do poczty można zrestować hasło do fb…

  13. […] pamięta wpadki Facebooka czy Google, gdzie prywatne zdjęcia i dokumenty, udostępniane tylko kilku wybranym osobom, na skutek błędu […]

Odpowiadasz na komentarz adam

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: