1/1/2013
W Sylwestra Facebook uruchomił specjalną usługę o nazwie “Midnight Delivery”, która umożliwiała wysłanie noworocznych życzeń do znajomych punktualnie o północy z 31 grudnia 2012 na 1 stycznia 2013. Niestety, szybko okazało się, że Facebook popełnił podstawowy błąd bezpieczeństwa i życzenia mógł przeczytać nie tylko ich odbiorca, ale także każdy inny internauta.
Żenujący błąd Facebooka
Po stworzeniu w serwisie Midnight Delivery wiadomości do znajomego, otrzymywało się następujący URL potwierdzeniem:
http://www.facebookstories.com/midnightdelivery/confirmation?id=76188
…i — choć ciężko w to uwierzyć — żeby odczytać życzenia innych osób, wystarczyło zmienić wartość parametru id na kolejny numer.
Odkrywca błędu (a raczej osoba, która jako pierwsza opisała lukę na swojej stronie) twierdzi, że większość życzeń to małowartościowe dane, ale część z nich zawierała zdjęcia:
Podgląd cudzych wiadomości to jedno — ale możliwość ich swobodnego kasowania to kolejny problem Facebookowej usługi Midnight Delivery. Okazuje się, że każda wiadomość posiadała przycisk pozwalający usunąć życzenia (o ile w strefie czasowej odbiorcy nie nastąpiła jeszcze północ i życzenia nie zostały mu przesłane).
O błędzie poinformowano o 4 nad ranem, potem usługa przesyłania życzeń przestała być dostępna, a o 14:00 serwis zmartwychwstał. Tym razem poprawiony. Nie mamy pojęcia, jakim cudem tak podstawowy błąd bezpieczeństwa został przez Facebookowych testerów przepuszczony na produkcję — jedyne wytłumaczenie jest takie, że programiści pracujący w Facebooku zaczęli świętować Nowy Rok dzień wcześniej i usługę Midnight Delivery pisali na mocnym kacu…
Ten sam błąd, poważniejsze konsekwencje
Ten sam błąd, tj. wykorzystanie globalnego identyfikatora i brak kontroli dostępu do funkcji przytrafił się także Citibankowi. W jego przypadku błąd umożliwił włamywaczom kradzież 200 000 kart kredytowych…
> o północy 31 grudnia 2012
chyba raczej “o północy 1 stycznia 2013”…
Jakie to uczucie być specjalistą od północy?
@antagonista
Jakie to uczucie byc specjalita od zadawania glupich pytan ?
Żaden z niego specjalista http://pl.wikipedia.org/wiki/P%C3%B3%C5%82noc_%28godzina_0:00%29 Północ 24 to 31 grudnia, a północ 0:00 to 1 stycznia ;)
Może wreszcie zaczną zatrudniać normalnych QA…
Specjalista od północy :D
Filozof?
Takie luki łatwo znaleźć, wystarczy pobawić się paskiem
adresu.
to jeszcze nic – życzenia, które dostałem sms’em od większości znajomych można było znaleźć w internecie zanim zostały wysłane
10/10 :D
Podejrzewam, że to wyglądało tak:
(1.10.2012)
Dyrekcja FB: Na nowy rok odpalimy nową usługę dostarczanie wiadomości, nie skopcie jej!
Programiści FB: Tak jest!
(2.10.2012)
Programista FB #1: O czym to była mowa wczoraj? Nie pamiętam…
Programista FB #2: Pewnie znów jakieś podwyżki, o patrz – ta scena jest genialna!
(28.12.2012)
Dyrekcja FB: No, po takim czasie nowa usługa musi zajebiście chodzić. Pokażcie jak działa!
Programista FB #2: Taaak… Em… Jeszcze został jeden malutki bug… I [Programista FB #1] chciał poprawić stronę wizualną – wiecie jaki z niego perfekcjonista… Przygotujcie się na pełnię doznań w poniedziałek!
Słabiutko :/ Akurat specjaliści z facebooka powinni mieć fioła na punkcie bezpieczeństwa..
[…] coś ostatnio nie ma dobrej passy. Bardzo podobny błąd załatano niedawno w Facebookowej usłudze do wysyłania noworocznych życzeń. Warto jednak zauważyć, że w tym przypadku błąd nie został ujawniony przed jego załataniem […]