Tommy DeVoss objevil na Facebook velkou bezpečnostní chybu, která mohla vést k úniku stovek milionů emailových adres uživatelů. Za nahlášení této chyby Facebooku získal odměnu 5 tisíc USD z bounty programu.
Nejhorší je, že se nejednalo o žádnou složitou chybu, na kterou by bylo potřeba pokročilé znalosti bezpečnostního experta. S trochou štěstí na ní mohl přijít a zneužít jí naprosto kdokoliv. Ostatně posuďte sami.
Stačilo vytvořit si novou Facebook skupinu. Správce skupiny pak pozval další uživatele a přidělil jim správcovská práva. V tomto případě musí pozvaný uživatel svou novou roli potvrdit. Současný správce pak vidí v seznamu uživatelů, komu byla nabídka poslána a může jí i zrušit.
Tommy DeVoss si všiml, že když přepne Facebook do verze pro mobilní telefon a klikne na tlačítko pro zrušení nabídky správcovství, tak je přesměrován na stránku s potvrzením tohoto rozhodnutí. Jenomže stránka na kterou je přesměrován v URL (adresním řádku) obsahuje kompletní emailovou adresu uživatele a to v čitelném formátu u parametru removependinginvite_email. Řetězec není nijak chráněn, třeba jednosměrným šifrováním.
Tento jednoduchý prohřešek mohl vést například k odhalení identity uživatelů, kteří o to nestojí. Kdokoliv si mohl zjistit vaši emailovou adresu na Facebooku. Nevíme jak dlouho se tato chyba na Facebook nacházela ani kolikrát byla, vzhledem je své jednoduchosti, zneužita. Technicky by nebyl problém vytvořit robota, který by takto mohl ve velkém doslova sklízet emailové adresy po tisících.
Takže jak vidíte ne vždy jsou bezpečnostní díry komplikované a najít je vyžaduje pokročilé znalosti programování. Občas stačí jen kouknout do URL.
Tento článek byl byl přečten 1787 krát