Lek gaf kwaadwillenden toegang tot verborgen e-mailadressen op Facebook

Een Amerikaanse onderzoeker ontdekte een truc om verborgen e-mailadressen op Facebook te kunnen achterhalen. Het sociale netwerk heeft het lek inmiddels gedicht. Hij werkte via url's op de mobiele site van het sociale netwerk.

De Amerikaan, Tommy DeVoss, legt in een blogpost uit dat het lek zat in de manier waarop de mobiele site de url opbouwde voor het annuleren van het verzoek om een 'page role' te krijgen op een Facebook-pagina. Hoewel de interface zelf het e-mailadres keurig verbergt met sterretjes, was in de url wel het volledige e-mailadres zichtbaar.

Een exploit van het lek vereiste dat een kwaadwillende een Facebook-pagina op poten zette en mensen met wie hij of zij geen Facebook-connectie heeft bijvoorbeeld als 'editor' of 'administrator' uitnodigde voor die pagina. Vervolgens stuurde Facebook een verzoek naar die persoon. Facebook toonde de url met het e-mailadres bij het annuleren van dat verzoek op de mobiele pagina.

Facebook erkende het lek en heeft het inmiddels gedicht. Bovendien heeft DeVoss een beloning gekregen van vijfduizend dollar voor het aandragen van het lek via het Facebook Bounty Program.

Lees meer

Nieuwste IT Banen

IT trainingen bij Computrain

Reacties (49)

Standeman

@Birdyman • 22 december 2016 12:49

Belangrijkste punt:

mensen met wie hij of zij geen Facebook-connectie heeft

Jij ziet geen probleem om jouw e-mail adres aan iedereen te geven, maar als je Mark Rutte, Madonna of Trump wil je weer niet dat je e-mail adres voor jan en alleman op straat ligt. Er zijn genoeg mensen die dat graag voor zichzelf houden.

En je zegt "meestal", dus er zijn ook personen aan wie je het niet wil geven

[Reactie gewijzigd door Standeman op 22 december 2016 12:50]

+1 bbob1970

Beheer en beveiliging
Facebook

@Standeman • 22 december 2016 13:34

Denk alleen maar aan de groep stalkers die bekendheden stalken,m hun ex of anderen.

+1 SPee
@bbob1970 • 22 december 2016 14:46

Je vergeet de grote groep spammers?

cracking cloud
@SPee • 22 december 2016 16:59

Daarvoor heb je een spamfilter.

+1 xiphoid
@Standeman • 22 december 2016 16:17

Inderdaad, ookal heb je geen rede om het te verbergen - het is nog steeds een persoonlijk email adres. De distributie van de naam/email etc combinatie is aan jou. Ik gebruik bijv. voor Facebook een uniek en lastig te gokken email combo, en heb liever ook niet dat derder hier zomaar achterkomen. Dit lijkt me niet teveel gevraagd.

Prettig dat iemand het gespot heeft, en hiervoor een bounty beloning heeft gekregen. Vroeger met melden werden we gewoon genegeerd (zoals banken dit nogsteeds doen - looking at you ING).

SkyStreaker
@Standeman • 22 december 2016 16:40

Of je gebruikt gewoon een mailadres puur voor deze ongein zodat je "echte" nooit zo snel naar buiten zal komen. Beetje gezond verstand, toch?

0 Jerie
@Standeman • 22 december 2016 21:55

Jij ziet geen probleem om jouw e-mail adres aan iedereen te geven, maar als je Mark Rutte, Madonna of Trump wil je weer niet dat je e-mail adres voor jan en alleman op straat ligt. Er zijn genoeg mensen die dat graag voor zichzelf houden.

Als je een enigszins druk leven hebt qua e-mail dan houdt je werk en prive gescheiden, en kun je zelfs bijvoorbeeld prive onderscheiden dmv Standeman+facebook@gmail.com oid.

0 sxbrentxs
@Jerie • 23 december 2016 07:35

Dus Standeman+prive@gmail.com/Standeman@gmail.com is je prive email?

Dat is dus het probleem. Ieder email, desondanks je je emails scheid, is een inbreuk. En wat jij misschien geen probleem vindt, vinden honderden anderen wel.

0 Jerie
@sxbrentxs • 23 december 2016 11:32

Je kunt ook een forwarder gebruiken bij bijvoorbeeld spamgourmet en zo instellen dat hij alleen vanaf een bepaald e-mail address accepteert.

0 sxbrentxs
@Jerie • 24 december 2016 02:21

Verhelp je nog steeds het probleem van gelekte emails niet mee. Dat is allemaal voorkomen wat niet nodig zou moeten zijn.

0 Jerie
@sxbrentxs • 24 december 2016 11:40

Nou ja dat hangt er van af hoe je het bekijkt. Je zet in zo'n geval je Spamgourmet forwarding adres gewoon uit.

RobjeDopje
@Birdyman • 22 december 2016 12:48

Doe dit eens even automatisch in een scriptje en farm die adressen maar! Gelijk een mooi profiel erbij, geslacht, leeftijd, interesses.. Dit is een goudmijn voor spammers.

0 Rob_03
@RobjeDopje • 22 december 2016 12:58

Mwa hoewel je wel gelijk hebt lijkt het me een behoorlijk moeizame methode. Ik ga er eigenlijk ook wel vanuit dat als je automatisch zeg 1000 mensen in ene uitnodigt als editor er wel een paar alarmbellen af gaan. Moeten er van die duizend ook nog eens allemaal "weigeren" zonder dat ze het bij FB melden als spam en dan moet je ze als mail ook nog eens opvangen.

Het is een lekje maar om nou te zeggen een goudmijn optie.
Dat waag ik te betwijfelen.

Oerdond3r

@Rob_03 • 22 december 2016 13:12

Aangezien facebook bijna 1.8 miljard gebruikers heeft zullen er weinig 'alarmbellen' in de code zitten. Wel harde limieten die je vanzelf tegenkomt als scriptschrijver. Vervolgens laat je het script ook meerdere groepen aanmaken over verschillende vpn's en accounts. En laat je het script draaien totdat facebook je wel een keer doorheeft. Tegen die tijd is het kwaad al geschiet.

+1 Rob_03
@Oerdond3r • 22 december 2016 14:13

Misschien niet helemaal helder maar "Alarmbellen" of zoals jij het noemt "limieten" schaar ik onder de zelfde noemer. Ik zeg niet dat het 100% zeker is dat het niet kan maar voorzie wel dat je dit niet even op grote schaal zou kunnen misbruiken.

Voor groepen / pages heb je een FB account nodig. Als het al zo gemakkelijk zou zijn om via een scriptje "fake accounts" aan te maken zonder opgemerkt te worden hadden we inmiddels toch wel een FB met 1,8 miljard echte gebruikers en 40 miljard automate-fake accounts. Plat gespamed met miljoenen fake vriendschapsverzoeken en dergelijk.

Tja en dan moet je ook nog eens met fake accounts instaat zijn om daar even "automatisch" groepen / pagina's aan te maken. Zitten nogal wat stappen tussen voor je dat live hebt. En je hebt gelijk of daar echt een limiet zit per uur/dag/week/ account etc geen idee. Ik heb wel een vermoeden dat al kan het. 1 profiel net binnen, start 500 groepen, nodigt 50000 mensen uit als editor, wel iets is wat gaat opvallen. Al is het alleen al uit "marketing / lead" oogpunt.

En dan nog (ok geen harde cijfers) als van die zeg 50000 die je uitnodigt er 50% naar zou kijken mag je van gelukt spreken. Met een beetje pech klikt jan en alle man op accepteren wat vanuit de gebruiker al vragen gaat oproepen, meldingen maakt in die groep etc. Diegene weigeren zullen hoewel niet allemaal ook wel deels weten, hier klopt iets niet laat ik eens een vraag stellen bij een FB.

Anyway ik heb niet het idee dat dit nu de "goudmijn" voor Spammer had kunnen zijn. Mogelijk wel voor zeer specifiek targeting en dat is kennelijk opgelost.

0 supersnathan94
@Rob_03 • 22 december 2016 15:49

FB spam loopt op sommige punten wel uit de klauwen hoor. Wij krijgen in een support groep steeds berichten over frauduleuze leningen van een paar miljoen max. Ik denk ondertussen al wel een account of 20.

crizyz
@Rob_03 • 22 december 2016 17:27

Het hele idee is dat je de e-mailadressen te zien krijgt zondert een actie van 'het doelwit', dus of 50% er naar kijkt of niet, dat zijn dan toch nog altijd 50000 (100%) mailadressen.

Edit: sterker nog, 'het doelwit' hoeft het nog niet eens te weten:

The impact of this vulberability could be diverse. Harvesting email addresses this way contradicts Facebook's privacy policy and could lead targeted phishing attempts or other malicious purposes. Also as a note, this could only target users that were not already friends on Facebook and after adding the person then removing the request, the notification will disappear. This means an attacker could exploit this without the knowledge of the victim, unless they happen to get the notification and see it before the request was canceled.

[Reactie gewijzigd door crizyz op 22 december 2016 17:28]

0 Rob_03
@crizyz • 23 december 2016 12:34

Pardon beetje laat terug gekomen. :-) ok ja dat zou dan gebruikt kunnen worden maar als nog bij elke aanvraag worden de gebruikers ook gemaild althans voor zover mij bekend is.

Anyway het ging om de opmerking dat dit een goudmijn voor spammers zou zijn geweest. Daar plaatse ik mijn vraagtekens bij omdat er heul veel werk verzet moet worden om dit systeem werkende te krijgen en te houden zonder dat het zou opvallen.

Anyway het is verholpen op naar de volgende "melding".

0 Birdyman
@RobjeDopje • 22 december 2016 15:09

facebook is ook niet om je te verbergen voor anderen

Webgnome
@Birdyman • 22 december 2016 12:47

Wel als men vervolgens die email adressen kan harvesten en ze mooi in allerlei lijstjes kan stoppen om jou plat te spammen?

0 batjes
@Webgnome • 22 december 2016 12:55

spamfilters. Zelfs op mijn wegwerp gmail krijg ik amper spam in de inbox.

0 GORby

@batjes • 22 december 2016 13:48

Mijn ervaring is dan ook dat Gmail een uitstekende spam filter heeft. Door de grote hoeveelheid data die ze binnenkrijgen, en door bij te leren door wat gebruikers als spam markeren, kunnen ze natuurlijk wel wat meer dan een kleine mailhost.

0 supersnathan94
@GORby • 22 december 2016 15:51

Dat en ze lezen actief geautomatiseerd mee. Ze weten dus precies wat er in ieder mailtje herkenbaar is al zijnde spam.

0 GORby

@supersnathan94 • 24 december 2016 11:16

Succes bij het ontwikkelen van een efficiënte spam filter die de berichten die hij moet beoordelen niet bekijkt. Da's gewoon zoals elke andere spam filter werkt. De andere spam filters hebben dan wel niet allemaal de neiging om te kijken welke advertenties ze je zelf kunnen voorschotelen

0 Birdyman
@Webgnome • 29 december 2016 15:55

als je anoniem wilt blijven moet je je zeker niet inschrijven bij sociale netwerken
het woord zegt het al

MN-Power
@Birdyman • 22 december 2016 12:55

Meestal, dus niet altijd.

En op deze manier kon iedereen hem verkrijgen zonder het aan jou te vragen.

0 Birdyman
@MN-Power • 22 december 2016 15:10

ik bedoel ze kunnen er weinig kwaad mee
het is geen wachtwoord ofzo of pincode

+1 Mr.Skippie
@Birdyman • 22 december 2016 13:11

Mag ik je e-mail dan?

0 Birdyman
@Mr.Skippie • 22 december 2016 15:09

ritzcarlton53@gmail.com

My-life
22 december 2016 12:55

5.000 USD, dat lijkt me een schijntje in vergelijking wat deze info op de zwarte markt waard zou zijn geweest.
Misschien is dit ook al veel eerder verhandeld dan toen het lek eenmaal was gedicht.

Albert Jan99
@My-life • 22 december 2016 13:27

Haha er zijn ook mensen die iets voor deze toch al verprutste maatschappij willen betekenen

0 koelpasta
@Albert Jan99 • 22 december 2016 13:31

Dan moet je vooral facebook willen helpen....

StefanDingenout
@koelpasta • 22 december 2016 16:40

't is meer de miljoenen gebruikers van facebook helpen he...

0 koelpasta
@StefanDingenout • 22 december 2016 16:59

Die mensen zijn voorbij enige zinnige hulp.
Het is welbekend dat facebook geen moer geeft om privacy (zolang het via PR goed te breien is). Als mensen het willen gebruiken dan moeten ze ook maar met de consequenties leven.
Die mensen beschermen tegen facebook terwijl ze het zelf bewust gebruiken lijkt me doelloos.

StefanDingenout
@koelpasta • 22 december 2016 17:13

Dat hele facebook bashen op privacy is echt een beetje zielig. Ja, ze verzamelen alles over je wat ze willen, en ja ze bombarderen je met advertenties. Maar ik heb nog nooit ook maar iets gemerkt van facebook die moedwillige je contactgegevens zou verspreiden. Ze verspreiden gegevens _over_ je, niet _van_ je.

En al dat nog daargelaten. Facebook wil niet je email zomaar aan iedereen geven, en als dat via een bug mogelijk is en iemand ze erop wijst en ze stoppen dat gelijk dicht is alleen maar goed. Ongeacht wat voor gegevens ze _over_ je verspreiden.

0 koelpasta
@StefanDingenout • 22 december 2016 17:49

Maar ik heb nog nooit ook maar iets gemerkt van facebook die moedwillige je contactgegevens zou verspreiden.

Waar het mij om gaat is dat ze verder niet heel veel geven om je privacy.
Gezien de omzet en beurswaarde van facebook zou je mogen verwachten dat dit soort fouten uit code audits o.i.d. naar voren gekomen waren. Sowiso zouden er regels moeten zijn zodat een email adres nooit expliciet in wat voor communicatie ook mogen voorkomen. Het zou een grondregel moeten zijn. Maar blijkbaar niet bij facebook. Ondanks dat ze meer dan genoeg geld hebben om dit soort dingen te voorkomen. (Vooral ook omdat ze hun geld hier maar 1 keer aan hoeven te spenderen om het vervolgens voor al hun miljoenen gebruikers uit te kunnen rollen).

StefanDingenout
@koelpasta • 22 december 2016 18:39

Het is niet omdat Facebook veel geld heeft dat ze onmogelijk een fout over het hoofd kunnen zien... Eerder het tegenovergestelde, hoe groter het bedrijf hoe groter de kans word dat er ergens iets tussen de reviews door weet te glippen. Het is slordig ja, en erg vreemd dat de URL formatting niet automatisch dit soort fouten uitfiltert, maar aan de andere kant is het heel erg vreemd om een email in een URL te plaatsen en kan ik me ook best voorstellen dat niemand er ooit aan gedacht heeft dat dit gefilterd moet worden.

Niet dat dat de fout minder stom maakt, maar om er nou gelijk van te maken dat het niet een standaard regel is dat gegevens niet gedeeld moeten worden -terwijl het bij de rest van de pagina wel onherkenbaar was gemaakt- is gewoon perse met een beschuldigend vingertje willen wijzen. Het lijkt mij dat jij net zo min als ik weet hoe Facebook zijn code audits doet. Het verschil is dat ik een stomme fout zie, en jij gelijk kwade wil. Hanlon's razor en zo...

Dat gezegd hebbende. Ik schreef me pasgeleden online in bij een uitzendbureau en kreeg een paar minuten later vrolijk een bevestigingsmailtje met mijn gebruikersnaam en wachtwoord er in. Die heb ik ook wel even de wind van voren gegeven...

[Reactie gewijzigd door StefanDingenout op 22 december 2016 19:07]

0 Martijn033
@StefanDingenout • 23 december 2016 09:59

...kreeg een paar minuten later vrolijk een bevestigingsmailtje met mijn gebruikersnaam en wachtwoord er in...

Dat is helaas een standaardfunctie van Joomla. Dat moet je er actief uit (laten) slopen, anders staat het aan. Overigens zet Joomla het wachtwoord wel versleuteld in de database.
Ik heb het bij meer bedrijven gezien.

StefanDingenout
@Martijn033 • 23 december 2016 10:11

Joomla? Word dat nog gebruikt joh? Jaren geleden dat ik daar iets over gehoord heb.

0 koelpasta
@StefanDingenout • 22 december 2016 17:52

Dat hele facebook bashen op privacy is echt een beetje zielig.

Gezien de geschiedenis van facebook vind ik eerder dat het goedpraten van het slordig omgaan met dit soort gegevens zielig is....

kaasboer09
22 december 2016 22:31

Goed dat Facebook het erkent en meteen fixt. De toegevoegde waarde van de community observers worden goed onderschreven. Er is ook veel veranderd dankzij deze bug-bounty programma's.

Ik kan me nog goed herinneren dat ik toendertijd een gelijksoortig lek vond bij Hyves. De voor- en achternaam werd altijd zichtbaar wanneer men een PM verstuurde. Ook wanneer de gebruiker enkel een alias wilde displayen die zelfs zijn voor zijn eigen vrienden nog verborgen waren.

Lek gemeld, maanden later nog steeds niet opgelost. Daarna een melding gemaakt bij de Tweakers redactie, en nog geen halve dag later was bug wonderbaarlijk verdwenen.

Dat waren de tijden dat het melden van een bug nog als irritant werd ervaren...

[Reactie gewijzigd door kaasboer09 op 22 december 2016 22:33]

0 CEx
22 december 2016 12:43

Gelukkig werkte het lek alleen voor "kwaadwillenden "

Sex Pistols
@CEx • 23 december 2016 20:10

En ook alleen op hun tablet!

0 Kiwivogel
22 december 2016 14:52

De windows phone app heeft een halve eeuwigheid alle profiel info als zijnde openbaar weergegeven (in elk geval voor 'vrienden', vergeten te testen voor niet vrienden) terwijl mensen die soms dicht hadden staan. En dat was notabene de officiele app... Stelletje prutsers

StefanDingenout
@Kiwivogel • 22 december 2016 19:09

Ik heb sowieso het gevoel dat apps vaak slordiger ontwikkeld worden dan 'echte' software of websites.

0 rogier1974
23 december 2016 14:38

Eigenlijk maakt het niet uit voor Facebook, op mijn tweede account, die ik alleen gebruik om te gamen en helemaal los staat van mijn andere account, komen bij mensen die u misschien kent ook bekenden voorbij, zelfs mensen die ik wel ken maar niet eens op facebook heb. Dat dus.

Sex Pistols
23 december 2016 20:07

Weer een reden om NIET op Facebook aan te melden of er te komen!
Als je er al zit zo snel mogelijk wegwezen daar! Account leegmaken en opheffen.
Wat een mooie kerstgedachten, vrij van social media ! VRIJ !!! $_/-\o_$
Hou het heel allemaal met oud&nieuw!!!
1 Januari als je wakker wordt even tellen of je er nog 10 hebt, vingers!
Op internet anoniem. Dat wordt een prachtig 2017.
Veel gezondheid

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers