4

Błąd Facebooka pozwalał podglądać i kasować prywatne wiadomości noworoczne innych użytkowników

Facebook dostarczył ostatnio sporo powodów do krytyki, zaczynając od tajemniczych aktywności na kontach zmarłych osób, przez skopiowanie Snapchat w postaci Poke, który jednak wydaje się nie mieć szans na sukces [1], [2], na wpadce dotyczącej ustawień prywatności samej siostry założyciela Facebooka – Randi Zuckerberg. Kiedy już myślałem, że najpopularniejszy serwis społecznościowy wyczerpał już wszystkie możliwości […]

Facebook dostarczył ostatnio sporo powodów do krytyki, zaczynając od tajemniczych aktywności na kontach zmarłych osób, przez skopiowanie Snapchat w postaci Poke, który jednak wydaje się nie mieć szans na sukces [1], [2], na wpadce dotyczącej ustawień prywatności samej siostry założyciela Facebooka – Randi Zuckerberg. Kiedy już myślałem, że najpopularniejszy serwis społecznościowy wyczerpał już wszystkie możliwości prowokujące negatywne lub ironiczne komentarze w tym roku, w końcu dziś Sylwester, wtedy Facebook uruchomił specjalne wiadomości z okazji nowego roku i popełnił wręcz szkolny błąd, dając możliwość podglądu wiadomości innych osób.

Nowa funkcja jest pomyślana specjalnie o dniu dzisiejszym, czyli Sylwestrze. Nazywa się Midnight Delivery i w założeniu ma dostarczyć nasze wiadomości do wybranych osób równo o północy, tym sposobem możemy złożyć noworoczne życzenia tym osobom, z którymi nie będziemy widzieć się osobiście. Całkiem pomysłowe, zamiast stać na mrozie o północy i pisać na telefonie życzenia do znajomych (czego i tak bym nie robił), użytkownicy Facebooka dostali możliwość przygotowania ich z wyprzedzeniem. Nie byłoby o czym mówić, gdyby nie jeden banalny błąd, który odkrył Jack Jenkins i opisał na swoim blogu. Otóż każda noworoczna wiadomość dostaje swój własny, indywidualny adres URL, który kończy się numerem identyfikującym wiadomość. W przypadku wiadomości Jacka linko do wiadomości wyglądał tak (pogrubienie moje):

story2

http://www.facebookstories.com/midnightdelivery/confirmation?id=76188

Wystarczyło zmienić numer na końcu adresu na inny, aby zobaczyć wiadomość innego użytkownika. Wygląda na to, że wiadomości otrzymywały kolejne numery, dlatego wybranie mniejszej liczby, od tej do wysłanej przez nas wiadomości prawie na pewno gwarantowało sukces. Co prawda nie wiadomo kto był nadawcą wyświetlonej wiadomość, bo każda wyświetlana jest obok naszego własnego awatara, tak jakbyśmy sami ją napisali, ale w treści bardzo często wymienienie są odbiorcy, a nawet zdjęcia. Poniżej losowa wiadomość na którą natrafił Jack. Co więcej, dostęp do tych wiadomości umożliwiał również ich skasowanie, tak aby nigdy nie dotarły do odbiorcy.

Nie jestem programistą, ale nawet dla mnie ten błąd wydaje się banalny i łatwy do uniknięcia. Pomijając fakt, że wiadomość powinna być widoczna tylko dla zalogowanego autora wiadomości i po godzinie 24 dla odbiorcy, nawet zastosowanie losowego, odpowiednio długiego ciągu znaków identyfikującego wiadomość poprawiłoby bezpieczeństwo, bo ciężko byłoby zgadnąć ciągi znaków reprezentujące inne wiadomości. Google w ten sposób umożliwiał udostępnianie prywatnych zdjęć i albumów linkiem dla osób, które nie posiadają konta w Google. Zastosowanie kolejnych numerów wiadomości to proszenie się o kłopoty. Pierwszy raz gdy w ten sposób można było obejść różne ograniczenia stron WWW, czy po prostu nie działające linki i menu sięga lat dziewięćdziesiątych, pamiętam jak sam robiłem takie „eksperymenty”.

fbstory5

Od czasu gdy Jack wykrył lukę, a w zasadzie ogromną wyrwę w zabezpieczeniach wiadomości, zostały one zablokowane przez Facebooka do czasu rozwiązania problemu. Ciekawe ile wiadomości zostało już skasowanych lub przeczytanych do tego czasu i czy wiadomości rusza ponownie przed północą i ile stref czasowych się na nie załapie.

Intel partnerem technologicznym AntywebRozmaite wpadki zdarzają się wszystkim, a nie myli się tylko ten, kto nic nie robi, ale biorąc pod uwagę moje wcześniejsze obiekcje na temat samoczynnie pojawiających się lajków na różnych kontach, w tym osób zmarłych oraz polecanie nowych funkcji Facebooka z których rzekomo korzystają nasi znajomi, gdy faktycznie tego nie robią, dodając ten niemal szkolny błąd, odnoszę nieodparte wrażenie, że Facebook jest świadom, że przekroczył masę krytyczną użytkowników, którzy w większości nie zwracają uwagi na kwestie prywatności oraz bezpieczeństwa i po prostu przestał się do tych aspektów przykładać. W końcu i tak nie straci wszystkich użytkowników. Ciężko mi inaczej wyjaśnić powód tak banalnej wpadki.

Na informację o błędzie natrafiłem na The Verge. Obrazy i informacje pochodzą ze źródła, czyli bloga Jacka Jenkinsa.