17:13
1/1/2013

W Sylwestra Facebook uruchomił specjalną usługę o nazwie “Midnight Delivery”, która umożliwiała wysłanie noworocznych życzeń do znajomych punktualnie o północy z 31 grudnia 2012 na 1 stycznia 2013. Niestety, szybko okazało się, że Facebook popełnił podstawowy błąd bezpieczeństwa i życzenia mógł przeczytać nie tylko ich odbiorca, ale także każdy inny internauta.

Żenujący błąd Facebooka

Po stworzeniu w serwisie Midnight Delivery wiadomości do znajomego, otrzymywało się następujący URL potwierdzeniem:

http://www.facebookstories.com/midnightdelivery/confirmation?id=76188

…i — choć ciężko w to uwierzyć — żeby odczytać życzenia innych osób, wystarczyło zmienić wartość parametru id na kolejny numer.

Odkrywca błędu (a raczej osoba, która jako pierwsza opisała lukę na swojej stronie) twierdzi, że większość życzeń to małowartościowe dane, ale część z nich zawierała zdjęcia:

Facebook Midnight Delivery Message

Facebook Midnight Delivery – przykładowa wiadomość

Podgląd cudzych wiadomości to jedno — ale możliwość ich swobodnego kasowania to kolejny problem Facebookowej usługi Midnight Delivery. Okazuje się, że każda wiadomość posiadała przycisk pozwalający usunąć życzenia (o ile w strefie czasowej odbiorcy nie nastąpiła jeszcze północ i życzenia nie zostały mu przesłane).

O błędzie poinformowano o 4 nad ranem, potem usługa przesyłania życzeń przestała być dostępna, a o 14:00 serwis zmartwychwstał. Tym razem poprawiony. Nie mamy pojęcia, jakim cudem tak podstawowy błąd bezpieczeństwa został przez Facebookowych testerów przepuszczony na produkcję — jedyne wytłumaczenie jest takie, że programiści pracujący w Facebooku zaczęli świętować Nowy Rok dzień wcześniej i usługę Midnight Delivery pisali na mocnym kacu…

Niezależnie od tego, czy ufacie w zdolności programistyczne i nieomylność pracowników Facebooka czy nie, powinniście wszystkie przesyłane przez internet wiadomości lub zdjęcia traktować jako dane, które potencjalnie kiedyś może zobaczyć ktoś poza ich odbiorcą.

Ten sam błąd, poważniejsze konsekwencje

Ten sam błąd, tj. wykorzystanie globalnego identyfikatora i brak kontroli dostępu do funkcji przytrafił się także Citibankowi. W jego przypadku błąd umożliwił włamywaczom kradzież 200 000 kart kredytowych

Przeczytaj także:

13 komentarzy

Dodaj komentarz
  1. > o północy 31 grudnia 2012

    chyba raczej “o północy 1 stycznia 2013”…

    • Jakie to uczucie być specjalistą od północy?

    • @antagonista
      Jakie to uczucie byc specjalita od zadawania glupich pytan ?

    • Żaden z niego specjalista http://pl.wikipedia.org/wiki/P%C3%B3%C5%82noc_%28godzina_0:00%29 Północ 24 to 31 grudnia, a północ 0:00 to 1 stycznia ;)

  2. Może wreszcie zaczną zatrudniać normalnych QA…

  3. Specjalista od północy :D

    • Filozof?

  4. Takie luki łatwo znaleźć, wystarczy pobawić się paskiem
    adresu.

  5. to jeszcze nic – życzenia, które dostałem sms’em od większości znajomych można było znaleźć w internecie zanim zostały wysłane

    • 10/10 :D

  6. Podejrzewam, że to wyglądało tak:
    (1.10.2012)
    Dyrekcja FB: Na nowy rok odpalimy nową usługę dostarczanie wiadomości, nie skopcie jej!
    Programiści FB: Tak jest!
    (2.10.2012)
    Programista FB #1: O czym to była mowa wczoraj? Nie pamiętam…
    Programista FB #2: Pewnie znów jakieś podwyżki, o patrz – ta scena jest genialna!
    (28.12.2012)
    Dyrekcja FB: No, po takim czasie nowa usługa musi zajebiście chodzić. Pokażcie jak działa!
    Programista FB #2: Taaak… Em… Jeszcze został jeden malutki bug… I [Programista FB #1] chciał poprawić stronę wizualną – wiecie jaki z niego perfekcjonista… Przygotujcie się na pełnię doznań w poniedziałek!

  7. Słabiutko :/ Akurat specjaliści z facebooka powinni mieć fioła na punkcie bezpieczeństwa..

  8. […] coś ostatnio nie ma dobrej passy. Bardzo podobny błąd załatano niedawno w Facebookowej usłudze do wysyłania noworocznych życzeń. Warto jednak zauważyć, że w tym przypadku błąd nie został ujawniony przed jego załataniem […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.