11/12/2014
Jak informują nas czytelnicy, na naszym (i nie tylko naszym fanpage) zamiast linka do “galerii zdjęć” Facebook wyświetla losowe zdjęcia …przypadkowych osób. Dodatkowo, jeśli jesteście zalogowani na swoje konto na Facebooku i przejdziecie na widok profilu, mogą się Wam pokazać dane innych użytkowników (co ciekawe, głównie Polaków)…
O sprawie jako pierwszy poinformował nas czytelnik MarLukKi, który wykonał kilka zrzutów ekranu ukazujących to, jak widzi on nasz Fanpage:
MarLukKi sugeruje, że fotografia pojawia się zamiast standardowej ikonki facebookowej obrazującej “galerię”. Czyżby Facebookowi pokrzyżowały się pliki lokalizacje plików graficznych na CDN-ach?
Dodatkowo, inny czytelnik, Michał, przesłał nam informację że odwiedzanie URL-a o adresach:
hxxps://www.facebook.com/_nazwa_twojego_konta_/photos
hxxps://www.facebook.com/images/profile/timeline/
hxxps://www.facebook.com/images/profile/
także generuje niecodzienne widoki. Oto przykład:
ale na szczęście, próba odczytania historii rozmów z wyświetlanymi przez Facebooka użytkownikami nie daje żadnych rezultatów:
[EDIT: jak informuje jeden z naszych czytelników, w niektórych przypadkach jest to jednak możliwe]
Czyżby Facebookowi poplątały się sesje, tak jak np. ostatnio serwisowi GoldenLine, co powodowało logowanie się na cudze konta i dostęp do ich danych (por. Przypadkiem wszedł na konto innego użytkownika w GoldenLine)? Chyba raczej przyczyną błędu są problemy z serwerami cache’ującymi (co tłumaczy, dlaczego tylko część widoków jest “pomieniona” i nawet po odświeżeniu pokazuje te same dane, głównie Polaków). Prawdy pewnie dowiemy się niebawem od samego Facebooka.
Warto jednak przypomnieć, że kolizja sesji w serwisach internetowych się zdarza (także na Facebooku, sami tego raz doświadczyliśmy). Dlatego wszystkie informacje umieszczane w sieci (także w prywatnych chatach na Facebooku) powinniście traktować jako publicznie dostępne. Zawsze. Dla każdego. Tylko wtedy nie będzie wstydu, jeśli nagle, np. na skutek błędu programistów Facebooka, wpadną one w niepowołane ręce. W końcu już raz dziura w Facebooku pozwalała na podglądanie cudzych, prywatnych zdjęć (wyciekły wtedy także kompromitujące Marka Zuckerberga fotografie).
mialem to kilka dni temu.
http://puu.sh/dqsFK – kolizja
http://puu.sh/dqsqc – ciekawe zestawienie strony i obrazka
Mam to teraz, pod adresem https://www.facebook.com/images/places/map/small_dot.png
fotka jakiejs laski
Mam ją w “Informacje” i na części mapy gdzie byłem mi się pokazuje :D
Dokładnie to nad tytułem “Zdjęcia” wstawiony jest który generuje piękne tło z cudzych zdjęć pod galerią. U mnie profile się zmieniają równo co 30 sek.
Cześć, da się odczytać wiadomości innych osób pod warunkiem że są wysłane lub odebrane w ciągu ostatnich paru minut.
Ogólnie od kilku dni z facebookiem dzieją się dziwne rzeczy. Zdjęcia się nie wyświetlają, a małe fanpage znikają na krótki czas tak, że nie można ich wyszukać.
– błąd wyświetla prawdopodobnie uzytkowników którzy odwiedzili wymienione wyżej przez Was adresy
– odczyt wiadomości podobno czasem jest możliwy (jednak mi się to nie udało)
– osoby na których konta uda się “częściowo zalogować” mają ustawiony język facebooka (jak do tej pory) Polski, Holenderski, Turecki i Angielski
– możliwe jest odczytanie linku do konta poprzez zwyczajne zbadanie elementu
– możliwe jest wyświetlenie jakie fanpage dana osoba prowadzi – link poniżej
http://oi60.tinypic.com/hrx84j.jpg
(u jednej osoby były to zdjęcia z “nagimi lalami” więc czasem może to źle wpłynąć na czyjać reputacje ;)
>2014
>bycie anonimusem niewybaczusem
Co ciekawe: zdaje się że “dostęp” można uzyskać tylko do kont z danego kraju, bo jak do tej pory trafiłem tylko na polaków i tylko w momencie jak coś robią, bo nie zawsze wskakuje.
Pod tymi linkami też widać jakieś dziwne rzeczy:
https://www.facebook.com/images/profile/timeline/app_icons/friends_24.png
https://www.facebook.com/images/profile/timeline/app_icons/reviews_24x24.png
Historii czatu może odczytać się nie da, ale bieżące wiadomości jak najbardziej.
Tylko faceci sie pojawiaja :(
Są też kobiety http://pl.tinypic.com/r/4iju6u/8 :)
U mnie wyświetlają się głównie islamskie zdjęcia, mimo tego, że obcy mi jest ten temat.
Ja jak wchodzę w znajomych to mam parę z opuszczonymi spodniami i jakiś znak drogowy, oraz samochód z blachami d941
A pod spodem napis royers
Po kilku F5, przeładowuje na inne konto użytkownika
Mi to wygląda na problem z cache. Cache serwuje nam nie te pliki co potrzeba. Przemawiają za trzy rzeczy:
– Problem z cache wyjaśniałoby dlaczego “logujemy” się głównie na sesje Polaków – otrzymujemy błędne cache z najbliższego serwera.
– Jak dopiszemy do np. błędnego obrazka losowy parametr GET to serwer zwróci nam poprawny.
– Jak dopiszemy losowy parametr GET do obrazka pierwszy response jest 3-4 dłuższy co potwierdza, że cache istnieje i używa adresów URL jako identyfikatorów.
Z Holandii, z nie-polskich komputerów też dostaję tylko polskie konta. Co nie znaczy, że nie masz racji :)
udalo mi sie odzyskac fragment historii rozmowy… dzienkuje dobranoc.
http://www.image-share.com/upload/2784/48.jpg
Na liście [1] pojawia się zaskakująco dużo osób z Wykopu. Link błędogenny pojawił się na mikroblogu chwilę wcześniej.
[1] http://www.wykop.pl/wpis/10539798/facebook-afera-bylem-tu-https-www-facebook-com-ays/
Mała korekta. Historia rozmów jest jednak dostępna…
wyslalem linki koledze ktory mieszka w usa, jemu dzialaja normalnie, za to mi w polsce sie wyswietlaja cudze profile.
Ja miałem to dzisiaj i nie wiedziałem o co kaman z początku, bo widzę jakieś zdjęcia dziewczyn, których w ogóle nie znam w ‘tle’. Wylogowałem się, zalogowałem znowu i inna fotka w tle :) PS. U mnie to było w trochę innym miejscu: Profil>>Informacje>>W tle za blokiem Zdjęcia, ale działanie identyczne. Teraz już nie potrafię ‘zreprodukować’ błędu ;)
A mi się udało odczytać poprzednie wiadomości jakiegoś Czecha.
Znalezione na FB: http://goo.gl/8ceyfh Podczas dodawania emotek na androidzie w rozmowie prywatnej :D
Wazelinka, te sprawy…
Niestety da się przeglądać czasem historię ostatnich rozmów..
Wg. szybkiej analizy wychodzi na to, że winowajcą jest “statyczny” html, ładowany na początek – do niego doklejany jest JS ajaxowo aktualizujący wszystko. Pytanie jakim cudem ten html może być cache’owany łącznie z chatem i streamem aktualności.
Groźne może być zcraftowanie poprawnej sesji.
Jak kogoś wylogowywuje to należy się zalogować, przejść gdziekolwiek i znowu odpalić link.
Ciekawa rzecz pokazuje się w tle gdy wejdziemy w zakładkę znajomi: https://www.facebook.com/images/profile/timeline/app_icons/friends_24.png
Historia konwersacji grupowych również niekiedy działa :)
u mnie tak to wygląda:
http://oi62.tinypic.com/121gaqq.jpg
faktycznie patent z niby logowaniem sie na cudze konto dziala – wylosowalem “Thomasa” :P
Miałem to, pokazywało mi w galerii jakieś dziwne zdjęcie z arabskimi napisami. Dostały mi się dane jakiegoś islamisty.
A guzik prawda, poniewaz daje sie odczytac czyjes wiadomosci. Nie bede tutaj upublicznial poniewaz to nie o to chodzi. Sorry za brak polskich liter ale fakt faktem ze sie da.
Próbowałem z różnymi kombinacjami (różne przeglądarki, zalogowany/niezalogowany itd) i raz oprócz wyświetlenia liczby powiadomień i “zaproszeń do znajomych” mogłem je najzwyczajniej w świecie przeglądać u jakiegoś użytkownika.
Dzisiaj miałam ten sam problem. W zakładce “znajomi” pojawiało się zdjęcie dwóch gołych mężczyzn przy znaku drogowym, którzy wypinali nagie tyłki w stronę aparatu… okropny widok…
to http://pl.tinypic.com/view.php?pic=1zqvm2o&s=8#.VIojZjGG98E ? :P
Udało mi się zobaczyć czyjeś wiadomości, wystarczy odpowiednio kliknąć
http://i58.tinypic.com/jayipi.png
To raczej coś więcej niż cache. Moje zdjęcia z pewnością nie są polskie, raczej hiszpańskie, a w dodatku wszystkie pozycje w moich propozycjach np. filmów mają hiszpańskie tytuły.
Zdjęcia w tle pod profil/zdjęcia u każdego są takie same i mają nazwy “friends_24.png” “reviews_24x24.png” “places_24.png” – to nie są zdjęcia z hostingu facebooka
Przy odrobinie szczęścia moźna zobaczyć nie tylko powiadomienia, a nawet wiadomości ;)
Mnie w losowym miejscu w tle, pojawiło się zdjęcie jakiejś arabskiej rodziny.
Niestety niektóre wiadomości można było odczytać. Głownie były takie które opisywały ten problem (czasem chwaląc się, że zaakceptowało się znajomość na cudzym profilu) choć można było i trafić na wiadomości prywatne…
Czasami i wiadomości w czacie jeśli się pojawią to da się odczytać, tak samo powiadomienia :)
http://pl.tinypic.com/view.php?pic=whxzqt&s=8#.VIodgIWMwjh – Jakie maniery, nie spodziewal sie ze ktos patrzy ;)
Potencjalnym rozwiązaniem zagrożenia może być wylogowanie z wersji webowej serwisu po uprzednim zamknięciu wszystkich okien chatu. To powinno zakończyć sesję, a zarazem udaremnić próby “włamania”.
Wniosek wysnuty po kilkukrotnym trafieniu na komunikat o konieczności zalogowania na konto.
Potencjalnie, korzystanie z aplikacji mobilnej może być bezpieczn(iejsz)e.
Można czytać
http://pl.tinypic.com/r/30lz4vs/8
A jednak wersja mobilna nie pomoże: https://fbcdn-sphotos-g-a.akamaihd.net/hphotos-ak-xpa1/v/t1.0-9/10393682_637339246388597_316747458626801883_n.jpg?oh=97abdbf503cec48bc2eebe113a621511&oe=550E479F&__gda__=1426549410_ef474c9d0b6da30d452f32b6df2b7e65
Teraz jest coś takiego
http://scr.hu/1erw/j31p1
Już nie działa :(
Blad ogranicza sie do jakiegos CDNa w srodkowej europie. Latwo to mozna zobaczyc “skaczac” sobie po IP w TOR Browser, jak sie trafia na jakies z Holandi, Szwajcarii, Polski i okolic to np ten link https://www.facebook.com/images/profile/timeline/app_icons/tv_24.png wyswietla zdjecie zamiast ikonki.
Nice try :D
Czemu w linku jest “hxxps://”? :D Czyżby znowu jakiś test czy ktoś da się nabrać :D
hint: dlatego, żeby wordpress sam z siebie nie zamienił tego na link i nie próbował pingbackować tych stron :)
https://www.facebook.com/images/profile/timeline/app_icons/friends_24.png
Ja mam coś takiego :(
Ja np. widzę kilka zdjęć w kółko. Jednym z nich jest np. plik o nazwie images/places/map/small_dot.png która ja widzę jako słitaśna focia z dziubkiem jakiejś mocno umalowanej panny…
https://www.facebook.com/images/places/map/small_dot.png
Ja dostaje 404
Przy wejściu na timeline wyrzuca “Please try again later.”
Informacja na poziomie Wirtualnej Polski, skoro błędy wyświetlają się tylko w Polsce…tytuł powinien brzmieć co najmniej:
“Polacy odkryli wielką dziurę na facebooku!…wszystko przez kasze(cache)…”
Mało zrozumiałeś najwyraźniej
Bo nie zrozumiałeś :) poważne dziury, to dziury w kernelach, usługach sieciowych. To jest zwykły bug, i nie wiem czym się tu podniecać…że zamiast swojego zdjęcia zobaczyłeś dziubek jakiejś lafiryndy?
Naprawiłem awarię poprzez wyłączenie komputera.
A gdzie w artykule część “Co robić, jak żyć?”
Czy podwójne uwierzytelnianie uniemożliwia podglądanie?
Mi też już wyrzuca “Please try again later.”, wygląda na to że naprawili problem a wg podstrony ze statusem wszystko było ok:
https://developers.facebook.com/status/
Byłoby super jakbyście zrobili update jeśli coś więcej wiadomo.
U mnie tak samo – dziewczynka Shusha i jakies islamskieznaczkj + pan z wąsem w tle jak sie wejdzie q galerie
Ja dostawałem głównie arabów i hindusów.
https://www.facebook.com/images/profile/timeline/app_icons/photos_24.png
Wszyscy rozkminiają, że to może być coś nie halo z facebookiem, jego CDNami itp, a ja uruchomię inny wektor problemu: serwery/routery/cache któregoś z Polskich/Europejskich ISP-ów. To jest tylko mój domysł/wskazówka do “rozkminy” :) Bo dziwne, ale ja nie zauważyłem wczoraj żadnych nieprawidłowości. A jeżeli znajomy ze stanów któregoś z wyżej komentujących również nie miał problemów, to można ten wektor uznać za równie prawdopodobny, jak problemy z serwerami samego facebooka.
Testowałem to z wielu proxy i z wielu IP przez TORa i wszędzie były te same problemy
Teraz, po załataniu tej dziury, jest jeszcze zabawniej – można pisać samemu ze sobą :D
Zauważone przypadkiem, gdy szukałem rozmów z moim imiennikiem.
Nie od dzisiaj… Jest to możliwe od co najmniej kilku miesięcy, o ile nie dłużej.
jest to możliwe od samego początku istnienia fb ;)
Ktoś się natknął na profil developera Facebook’a.
http://i59.tinypic.com/2yoew0j.jpg
…u mnie jakims dziwnym cudem w czacie pojawila sie rozmowa jakis kolesi choc brak ich ws znajomych :-p
A ja mam w Pidginie “facebook userów” zamiast imienia i nazwiska :P
Z tłumaczeniem też mają problem miałem ostatnio komunikat przy rozmowie video:
Your connection may be za wolne”
Ktoś wrzucił do cachowania na acceleratorach POST + cookie, stąd widać sesje innych.