22:13
11/12/2014

Jak informują nas czytelnicy, na naszym (i nie tylko naszym fanpage) zamiast linka do “galerii zdjęć” Facebook wyświetla losowe zdjęcia …przypadkowych osób. Dodatkowo, jeśli jesteście zalogowani na swoje konto na Facebooku i przejdziecie na widok profilu, mogą się Wam pokazać dane innych użytkowników (co ciekawe, głównie Polaków)…

O sprawie jako pierwszy poinformował nas czytelnik MarLukKi, który wykonał kilka zrzutów ekranu ukazujących to, jak widzi on nasz Fanpage:

Nasz Fanpage z dołączonym przez Facebooka zdjęciem jakiegoś użytkownika

Nasz Fanpage z dołączonym przez Facebooka zdjęciem jakiegoś użytkownika

MarLukKi sugeruje, że fotografia pojawia się zamiast standardowej ikonki facebookowej obrazującej “galerię”. Czyżby Facebookowi pokrzyżowały się pliki lokalizacje plików graficznych na CDN-ach?

Dodatkowo, inny czytelnik, Michał, przesłał nam informację że odwiedzanie URL-a o adresach:

hxxps://www.facebook.com/_nazwa_twojego_konta_/photos
hxxps://www.facebook.com/images/profile/timeline/
hxxps://www.facebook.com/images/profile/

UWAGA!!! Wejście na podane wyżej linki, wedle relacji czytelników, powoduje dodanie naszego profilu do grupy osób, która się wyświetla innym. Lepiej nie zaglądać tam z własnego konta.

także generuje niecodzienne widoki. Oto przykład:

Widok profilu sugeruje, że jesteśmy zalogowani na cudze konto

Widok profilu sugeruje, że jesteśmy zalogowani na cudze konto

ale na szczęście, próba odczytania historii rozmów z wyświetlanymi przez Facebooka użytkownikami nie daje żadnych rezultatów:

Próba odczytania historii rozmów

Próba odczytania historii rozmów

[EDIT: jak informuje jeden z naszych czytelników, w niektórych przypadkach jest to jednak możliwe]

a jednak da się odczytać wiadomości - fot. czytelnik

a jednak da się odczytać wiadomości – fot. czytelnik

Na wszelki wypadek radzimy wyłączyć funkcję chata — podobno użytkownicy Facebooka, którzy są wylogowani z chata, nawet jeśli ich profile pokażą się innym osobom, to nie ujawniają historii rozmów

Czyżby Facebookowi poplątały się sesje, tak jak np. ostatnio serwisowi GoldenLine, co powodowało logowanie się na cudze konta i dostęp do ich danych (por. Przypadkiem wszedł na konto innego użytkownika w GoldenLine)? Chyba raczej przyczyną błędu są problemy z serwerami cache’ującymi (co tłumaczy, dlaczego tylko część widoków jest “pomieniona” i nawet po odświeżeniu pokazuje te same dane, głównie Polaków). Prawdy pewnie dowiemy się niebawem od samego Facebooka.

Warto jednak przypomnieć, że kolizja sesji w serwisach internetowych się zdarza (także na Facebooku, sami tego raz doświadczyliśmy). Dlatego wszystkie informacje umieszczane w sieci (także w prywatnych chatach na Facebooku) powinniście traktować jako publicznie dostępne. Zawsze. Dla każdego. Tylko wtedy nie będzie wstydu, jeśli nagle, np. na skutek błędu programistów Facebooka, wpadną one w niepowołane ręce. W końcu już raz dziura w Facebooku pozwalała na podglądanie cudzych, prywatnych zdjęć (wyciekły wtedy także kompromitujące Marka Zuckerberga fotografie).

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

76 komentarzy

Dodaj komentarz
  1. mialem to kilka dni temu.

  2. http://puu.sh/dqsFK – kolizja
    http://puu.sh/dqsqc – ciekawe zestawienie strony i obrazka

  3. Mam to teraz, pod adresem https://www.facebook.com/images/places/map/small_dot.png
    fotka jakiejs laski

    • Mam ją w “Informacje” i na części mapy gdzie byłem mi się pokazuje :D

  4. Dokładnie to nad tytułem “Zdjęcia” wstawiony jest który generuje piękne tło z cudzych zdjęć pod galerią. U mnie profile się zmieniają równo co 30 sek.

  5. Cześć, da się odczytać wiadomości innych osób pod warunkiem że są wysłane lub odebrane w ciągu ostatnich paru minut.

  6. Ogólnie od kilku dni z facebookiem dzieją się dziwne rzeczy. Zdjęcia się nie wyświetlają, a małe fanpage znikają na krótki czas tak, że nie można ich wyszukać.

  7. – błąd wyświetla prawdopodobnie uzytkowników którzy odwiedzili wymienione wyżej przez Was adresy
    – odczyt wiadomości podobno czasem jest możliwy (jednak mi się to nie udało)
    – osoby na których konta uda się “częściowo zalogować” mają ustawiony język facebooka (jak do tej pory) Polski, Holenderski, Turecki i Angielski
    – możliwe jest odczytanie linku do konta poprzez zwyczajne zbadanie elementu
    – możliwe jest wyświetlenie jakie fanpage dana osoba prowadzi – link poniżej
    http://oi60.tinypic.com/hrx84j.jpg
    (u jednej osoby były to zdjęcia z “nagimi lalami” więc czasem może to źle wpłynąć na czyjać reputacje ;)

    • >2014
      >bycie anonimusem niewybaczusem

  8. Co ciekawe: zdaje się że “dostęp” można uzyskać tylko do kont z danego kraju, bo jak do tej pory trafiłem tylko na polaków i tylko w momencie jak coś robią, bo nie zawsze wskakuje.

  9. Historii czatu może odczytać się nie da, ale bieżące wiadomości jak najbardziej.

  10. Tylko faceci sie pojawiaja :(

  11. U mnie wyświetlają się głównie islamskie zdjęcia, mimo tego, że obcy mi jest ten temat.

  12. Ja jak wchodzę w znajomych to mam parę z opuszczonymi spodniami i jakiś znak drogowy, oraz samochód z blachami d941
    A pod spodem napis royers

  13. Po kilku F5, przeładowuje na inne konto użytkownika

  14. Mi to wygląda na problem z cache. Cache serwuje nam nie te pliki co potrzeba. Przemawiają za trzy rzeczy:

    – Problem z cache wyjaśniałoby dlaczego “logujemy” się głównie na sesje Polaków – otrzymujemy błędne cache z najbliższego serwera.
    – Jak dopiszemy do np. błędnego obrazka losowy parametr GET to serwer zwróci nam poprawny.
    – Jak dopiszemy losowy parametr GET do obrazka pierwszy response jest 3-4 dłuższy co potwierdza, że cache istnieje i używa adresów URL jako identyfikatorów.

    • Z Holandii, z nie-polskich komputerów też dostaję tylko polskie konta. Co nie znaczy, że nie masz racji :)

  15. udalo mi sie odzyskac fragment historii rozmowy… dzienkuje dobranoc.

    http://www.image-share.com/upload/2784/48.jpg

  16. Na liście [1] pojawia się zaskakująco dużo osób z Wykopu. Link błędogenny pojawił się na mikroblogu chwilę wcześniej.

    [1] http://www.wykop.pl/wpis/10539798/facebook-afera-bylem-tu-https-www-facebook-com-ays/

  17. Mała korekta. Historia rozmów jest jednak dostępna…

  18. wyslalem linki koledze ktory mieszka w usa, jemu dzialaja normalnie, za to mi w polsce sie wyswietlaja cudze profile.

  19. Ja miałem to dzisiaj i nie wiedziałem o co kaman z początku, bo widzę jakieś zdjęcia dziewczyn, których w ogóle nie znam w ‘tle’. Wylogowałem się, zalogowałem znowu i inna fotka w tle :) PS. U mnie to było w trochę innym miejscu: Profil>>Informacje>>W tle za blokiem Zdjęcia, ale działanie identyczne. Teraz już nie potrafię ‘zreprodukować’ błędu ;)

  20. A mi się udało odczytać poprzednie wiadomości jakiegoś Czecha.

  21. Znalezione na FB: http://goo.gl/8ceyfh Podczas dodawania emotek na androidzie w rozmowie prywatnej :D

    • Wazelinka, te sprawy…

  22. Niestety da się przeglądać czasem historię ostatnich rozmów..

  23. Wg. szybkiej analizy wychodzi na to, że winowajcą jest “statyczny” html, ładowany na początek – do niego doklejany jest JS ajaxowo aktualizujący wszystko. Pytanie jakim cudem ten html może być cache’owany łącznie z chatem i streamem aktualności.
    Groźne może być zcraftowanie poprawnej sesji.

    Jak kogoś wylogowywuje to należy się zalogować, przejść gdziekolwiek i znowu odpalić link.

  24. Ciekawa rzecz pokazuje się w tle gdy wejdziemy w zakładkę znajomi: https://www.facebook.com/images/profile/timeline/app_icons/friends_24.png

  25. Historia konwersacji grupowych również niekiedy działa :)

  26. u mnie tak to wygląda:
    http://oi62.tinypic.com/121gaqq.jpg

  27. faktycznie patent z niby logowaniem sie na cudze konto dziala – wylosowalem “Thomasa” :P

  28. Miałem to, pokazywało mi w galerii jakieś dziwne zdjęcie z arabskimi napisami. Dostały mi się dane jakiegoś islamisty.

  29. A guzik prawda, poniewaz daje sie odczytac czyjes wiadomosci. Nie bede tutaj upublicznial poniewaz to nie o to chodzi. Sorry za brak polskich liter ale fakt faktem ze sie da.

  30. Próbowałem z różnymi kombinacjami (różne przeglądarki, zalogowany/niezalogowany itd) i raz oprócz wyświetlenia liczby powiadomień i “zaproszeń do znajomych” mogłem je najzwyczajniej w świecie przeglądać u jakiegoś użytkownika.

  31. Dzisiaj miałam ten sam problem. W zakładce “znajomi” pojawiało się zdjęcie dwóch gołych mężczyzn przy znaku drogowym, którzy wypinali nagie tyłki w stronę aparatu… okropny widok…

  32. Udało mi się zobaczyć czyjeś wiadomości, wystarczy odpowiednio kliknąć
    http://i58.tinypic.com/jayipi.png

  33. To raczej coś więcej niż cache. Moje zdjęcia z pewnością nie są polskie, raczej hiszpańskie, a w dodatku wszystkie pozycje w moich propozycjach np. filmów mają hiszpańskie tytuły.

  34. Zdjęcia w tle pod profil/zdjęcia u każdego są takie same i mają nazwy “friends_24.png” “reviews_24x24.png” “places_24.png” – to nie są zdjęcia z hostingu facebooka

  35. Przy odrobinie szczęścia moźna zobaczyć nie tylko powiadomienia, a nawet wiadomości ;)

  36. Mnie w losowym miejscu w tle, pojawiło się zdjęcie jakiejś arabskiej rodziny.

  37. Niestety niektóre wiadomości można było odczytać. Głownie były takie które opisywały ten problem (czasem chwaląc się, że zaakceptowało się znajomość na cudzym profilu) choć można było i trafić na wiadomości prywatne…

  38. Czasami i wiadomości w czacie jeśli się pojawią to da się odczytać, tak samo powiadomienia :)

  39. http://pl.tinypic.com/view.php?pic=whxzqt&s=8#.VIodgIWMwjh – Jakie maniery, nie spodziewal sie ze ktos patrzy ;)

  40. Potencjalnym rozwiązaniem zagrożenia może być wylogowanie z wersji webowej serwisu po uprzednim zamknięciu wszystkich okien chatu. To powinno zakończyć sesję, a zarazem udaremnić próby “włamania”.

    Wniosek wysnuty po kilkukrotnym trafieniu na komunikat o konieczności zalogowania na konto.

    Potencjalnie, korzystanie z aplikacji mobilnej może być bezpieczn(iejsz)e.

  41. Można czytać
    http://pl.tinypic.com/r/30lz4vs/8

  42. Teraz jest coś takiego
    http://scr.hu/1erw/j31p1

  43. Już nie działa :(

  44. Blad ogranicza sie do jakiegos CDNa w srodkowej europie. Latwo to mozna zobaczyc “skaczac” sobie po IP w TOR Browser, jak sie trafia na jakies z Holandi, Szwajcarii, Polski i okolic to np ten link https://www.facebook.com/images/profile/timeline/app_icons/tv_24.png wyswietla zdjecie zamiast ikonki.

  45. Nice try :D
    Czemu w linku jest “hxxps://”? :D Czyżby znowu jakiś test czy ktoś da się nabrać :D

    • hint: dlatego, żeby wordpress sam z siebie nie zamienił tego na link i nie próbował pingbackować tych stron :)

  46. https://www.facebook.com/images/profile/timeline/app_icons/friends_24.png
    Ja mam coś takiego :(

  47. Ja np. widzę kilka zdjęć w kółko. Jednym z nich jest np. plik o nazwie images/places/map/small_dot.png która ja widzę jako słitaśna focia z dziubkiem jakiejś mocno umalowanej panny…

    https://www.facebook.com/images/places/map/small_dot.png

  48. Ja dostaje 404

  49. Przy wejściu na timeline wyrzuca “Please try again later.”

  50. Informacja na poziomie Wirtualnej Polski, skoro błędy wyświetlają się tylko w Polsce…tytuł powinien brzmieć co najmniej:

    “Polacy odkryli wielką dziurę na facebooku!…wszystko przez kasze(cache)…”

    • Mało zrozumiałeś najwyraźniej

    • Bo nie zrozumiałeś :) poważne dziury, to dziury w kernelach, usługach sieciowych. To jest zwykły bug, i nie wiem czym się tu podniecać…że zamiast swojego zdjęcia zobaczyłeś dziubek jakiejś lafiryndy?

  51. Naprawiłem awarię poprzez wyłączenie komputera.

  52. A gdzie w artykule część “Co robić, jak żyć?”
    Czy podwójne uwierzytelnianie uniemożliwia podglądanie?

  53. Mi też już wyrzuca “Please try again later.”, wygląda na to że naprawili problem a wg podstrony ze statusem wszystko było ok:
    https://developers.facebook.com/status/
    Byłoby super jakbyście zrobili update jeśli coś więcej wiadomo.

  54. U mnie tak samo – dziewczynka Shusha i jakies islamskieznaczkj + pan z wąsem w tle jak sie wejdzie q galerie

  55. Ja dostawałem głównie arabów i hindusów.

    https://www.facebook.com/images/profile/timeline/app_icons/photos_24.png

  56. Wszyscy rozkminiają, że to może być coś nie halo z facebookiem, jego CDNami itp, a ja uruchomię inny wektor problemu: serwery/routery/cache któregoś z Polskich/Europejskich ISP-ów. To jest tylko mój domysł/wskazówka do “rozkminy” :) Bo dziwne, ale ja nie zauważyłem wczoraj żadnych nieprawidłowości. A jeżeli znajomy ze stanów któregoś z wyżej komentujących również nie miał problemów, to można ten wektor uznać za równie prawdopodobny, jak problemy z serwerami samego facebooka.

    • Testowałem to z wielu proxy i z wielu IP przez TORa i wszędzie były te same problemy

  57. Teraz, po załataniu tej dziury, jest jeszcze zabawniej – można pisać samemu ze sobą :D
    Zauważone przypadkiem, gdy szukałem rozmów z moim imiennikiem.

    • Nie od dzisiaj… Jest to możliwe od co najmniej kilku miesięcy, o ile nie dłużej.

    • jest to możliwe od samego początku istnienia fb ;)

  58. Ktoś się natknął na profil developera Facebook’a.
    http://i59.tinypic.com/2yoew0j.jpg

  59. …u mnie jakims dziwnym cudem w czacie pojawila sie rozmowa jakis kolesi choc brak ich ws znajomych :-p

  60. A ja mam w Pidginie “facebook userów” zamiast imienia i nazwiska :P

  61. Z tłumaczeniem też mają problem miałem ostatnio komunikat przy rozmowie video:

    Your connection may be za wolne”

  62. Ktoś wrzucił do cachowania na acceleratorach POST + cookie, stąd widać sesje innych.

Odpowiadasz na komentarz Marcin

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: