Lek in Facebook legde primaire e-mailadressen bloot

Door een beveiligingslek in links die Facebook verstuurde naar gebruikers op een mailinglijst kon het primaire e-mailadres van elke gebruiker van de sociale-netwerksite opgevraagd worden. Het lek is gemeld bij Facebook en het bedrijf heeft daarvoor een beloning uitgekeerd.

Facebook Logo Beveiligingsonderzoeker Stephen Sclafani ontdekte de kwetsbaarheid via een oude Facebookuitnodiging die naar een mailinglijst was gestuurd. Daarin bleek een link te zitten met twee parameters. Een daarvan bleek gerelateerd aan het Facebook-id, openbare informatie op de sociale-netwerksite. Door de 'mid'-parameter te veranderen naar de Facebook-id van een andere gebruiker bleek het primaire e-maildres van de betreffende gebruiker zichtbaar te worden, ongeacht de privacyinstellingen.

Sclafani heeft het lek gemeld bij Facebook. De sociale-netwerksite erkende het lek en repareerde de fout binnen een dag. De beveiligingsonderzoeker kreeg een beloning van 3500 dollar uitgekeerd. Facebook beloont via zijn zogeheten Bug Bounty-programma vaker personen die lekken melden.

IT-banen

Reacties (34)

djwice

10 juli 2013 22:04

Voor iedereen die zegt dat $3500 veel, of juist weinig is. Hier twee vergelijkingen.

(1)
Voor een simpele geautomatiseerde PEN-Test waarbij je een standaard website scant en wat dieper duikt in de gevonden problemen en uitlegt wat daarmee moet gebeuren. Wordt ongeveer dit bedrag betaald in Nederland.

Uitvoering kost zo'n 2 tot 3 dagen werk voor een gespecialiseerd persoon die beschikt over de juiste ervaring, middelen, expertise en up-to-date kennis. Online security is een breed vakgebied, up-to-date houden van kennis is tijdrovend.

Complex
Als het goed is, voert FaceBook zelf continue geautomatiseerde tests uit en hebben ze beveiligingsexperts die de checks continu up-to-date houden en de resultaten toetsen.

Je vindt dus niet zomaar een lek (als het goed is).

(2)
In Nederland (en Europa) staan er boetes op data lekken en privacy schendingen van enkele tonnen per incident of zelfs tot 4500 euro per geval (dus per e-mailadres van een Nederlander op FB), op te leggen door CBP.
In dit perspectief, is het vinden van een bug waarbij je van alle(!) mensen op FaceBook het e-mailadres kunt achterhalen zeer ernstig.
Bedrijfseconomisch gezien (voor FaceBook) staat de beloning van $3.500 niet in verhouding ten opzichte van de mogelijk voorkomen boete voor privacy schendig.

[Reactie gewijzigd door djwice op 28 juli 2024 22:47]

PeterA @djwice • 11 juli 2013 06:52

Laten we er even van uit gaan dat onze lek niet gemeld zou worden. Lek wordt misbruikt, 1,1 miljard e-mailadressen doorgelekt, rechtzaak, 4.500 eur * 1,1 miljard e-mailadressen = astronomisch hoog bedrag. Zou ik niet vrolijk van worden als organisatie.

Ik begrijp dus wel wanneer een organisatie een programma opzet om mensen lekken te laten ontdekken. Ik kan ook wel begrijpen dat een organisatie ook niet een beloning gaat opzetten van een paar miljard euro om een lek als deze te stoppen.

De preventieve kosten mogen nooit de herstellende kosten overschrijden, bedrijfseconomisch gezien. Als een beloning van 3.500 eur niet in verhouding staat, dan stoppen de meldingen vanzelf, en dan besluit de organisatie de beloning te verhogen (soort vraag/aanbod verhouding en een evenwichtsmechanisme).

Tot nu toe lijkt een beloning van 3.500 eur voldoende voor het melden van een datalek van dusdanige grootte.

Martijn19 @djwice • 11 juli 2013 09:50

Daarnaast is 3500$ iets meer als helft wat een stagiaire bij Facebook in een maand verdiend.

Ik ook vind het een zeer klein bedrag voor zo'n ernstig lek.

iceblink @djwice • 10 juli 2013 22:53

Per geval wil echt niet zeggen per email adres

Unique93 10 juli 2013 19:41

De sociale-netwerksite erkende het lek en repareerde de fout binnen een dag. De beveiligingsonderzoeker kreeg een beloning van 3500 dollar uitgekeerd.

Vind ik nog erg magertjes voor het melden van zo'n grote beveilingslek.

Als het lek misbruikt zou zijn geweest waren ze heel wat meer kwijt geweest aan kosten.

PepijnK @Unique93 • 10 juli 2013 19:54

Het is toch $3500 meer dan "oh goh, nou bedankt voor het melden he, we gaan het zo snel mogelijk oplossen".

En het zal voor iedereen anders liggen, maar $3500 daar kan je zeker een maand goed van leven. Nou weet ik niet of het voor die beveiligingsonderzoeker een maand ploeteren is geweest of een middagje facebooken, maar in beide gevallen is $3500 echt geen slechte beloning.
Er zijn genoeg mensen op deze wereld die nog geen $3500 verdienen in een jaar.

Ik vind het een prima aanpak van FB. Zouden meer bedrijven moeten doen, kopgeld op bugs in hun software zetten. Dat helpt volgens mij ook wel met jonge 'hackers' die een lek vinden, in plaats van dat ze er zelf mee gaan klooien of het op reddit gooien, melden ze het gewoon, $3500 is een leuke financiele injectie voor je spaarvarken.

Soldaatje @PepijnK • 10 juli 2013 20:19

Maar wat zijn 1,1 miljard actieve e-mailadressen waard?
Dit in combinatie met phishing-mailtjes afkomstig lijkend van Facebook had het voor grote ellende kunnen zorgen.

[Reactie gewijzigd door Soldaatje op 28 juli 2024 22:47]

PepijnK @Soldaatje • 10 juli 2013 21:16

Maar wat zijn 1,1 miljard actieve e-mailadressen waard?
Dit in combinatie met phishing-mailtjes afkomstig lijkend van Facebook had het voor grote ellende kunnen zorgen.

Dat is zeker waar, maar zou jij weten hoe je snel en voor jou veilig 1,1 miljard email adressen verkoopt?
Dus met een garantie op dat het geld dat je krijgt wit is, zonder het risico dat er iemand op je deur bonst die je wil arresteren of afpersen.

Zou jij het risico nemen of gewoon die $3500 aanpakken en rustig slapen 's nachts?

Bedenk je ook dat als FB erachter komt dat jij hebt zitten klooien met zo'n exploit dat ze echt wel aangifte doen.

@wica
$3500 is een kleine €2900, volgens het CPB is dat bijna 20% boven een bruto modaal maandinkomen. Ga je uit van minimumloon dan hebben we het over bijna 2 bruto maandinkomens.

En nogmaals, als FB het gevoel krijgt dat jij hen probeert af te persen met informatie over een kritiek lek, dan zullen ze gewoon aangifte doen. Dan mag je onderhandelen met het OM over dat ze je alsteblieft niet uitleveren aan de VS.
Er is misschien nog wat te onderhandelen als je er aantoonbaar lang mee bezig bent geweest, maar stellen dat $3500 "helemaal te verwaarlozen" is, is pertinent onzin.

Voor de helft van NL is het meer dan een bruto maandinkomen en wij hebben hier echt geen slechte salarissen. Minimumloon in bijvoorbeeld de VS en Canada zijn echt substantieel minder dan hier.

kramer65 @PepijnK • 11 juli 2013 07:30

Je hebt absoluut gelijk, $3500 is zéker niet niks. Ook ìk zou er erg blij mee zijn.

-- maar --

Als je een lek vindt wat (ongeacht het risico) op de zwarte markt wel ten minste twee nullen meer waard is, en wat bovendien voor facebook potentieel een veelvoud aan (reputatie- en onderzoeks)-schade op zou kunnen leveren, dan zou ik toch niet anders kunnen dan het knagende idee hebben dat ik ergens bekocht ben.

Oogje @kramer65 • 11 juli 2013 07:46

Wat mij betreft is dat hetzelfde als spaarrente vergelijken met een bankoverval.
Het zal best dat zo'n bug veel geld waard is in het criminele circuit, maar dat mag toch niet de beweegreden of de maatstaf zijn?

Rey Nemaattori @Soldaatje • 11 juli 2013 01:01

Maar wat zijn 1,1 miljard actieve e-mailadressen waard?
Dit in combinatie met phishing-mailtjes afkomstig lijkend van Facebook had het voor grote ellende kunnen zorgen.

Ik gok insanely veel tbh...

wica @PepijnK • 10 juli 2013 20:18

Door een een vast bedrag te zetten op een bug, zul je alleen maar mensen overhalen om een bug te melden, die minder dan dit bedrag besteed hebben voor het onderzoek.

Als ik 2 maanden bezig ben, om een bug te vinden of een manier te vinden om deze te kunnen misbruiken. Dan ga ik dit toch niet voor maar $3500 tegen facebook zeggen.

Als je idd door deze bug het e-mail adres van de gebruiker kon achterhalen, vind ik dit wel een grote bug en dan is het bedrag van $3500 helemaal te verwaarlozen.

Galeton @wica • 10 juli 2013 20:50

Ligt er maar net aan wat voor bug je vind. Ik quote even van hun eigen bug bounty update website ding;

For example, some stories said that the maximum payment would be $500, when in fact that is the minimum amount we will pay. In fact, we’ve already paid a $5,000 bounty for one really good report.

Als jij twee maanden ploetert en je vind een minor bug, dan moet je even iets anders gaan doen lijkt me. Als jij een massive bug vindt waarmee je de creditcard gegevens kunt achterhalen van mensen die credits hebben gekocht, dan zul je ongetwijfeld meer dan 3500 krijgen.

SWINX @Galeton • 10 juli 2013 23:29

Miisschien dat de impact groot is, maar in theorie heb je natuurlijk binnen 5 minuten onderzocht of je ook een ander id kan invullen in een url.

Wat dat betreft is 3500 dollar toch snel verdiend.

[Reactie gewijzigd door SWINX op 28 juli 2024 22:47]

Verwijderd @wica • 11 juli 2013 08:33

Als ik 2 maanden bezig ben, om een bug te vinden of een manier te vinden om deze te kunnen misbruiken. Dan ga ik dit toch niet voor maar $3500 tegen facebook zeggen.

als jij 2 maanden wilt spenderen in de hoop 1 klein programmatisch foutje te vinden vraag ik mij sowieso af of je niets beters te doen hebt

de meeste van dit soort hacks worden bij toeval gespot en dan is zo'n leuke bonus van facebook mooi meegenomen
maar om nou doelbewust te proberen...
en er vanuit te gaan dat je bugs gaat vinden in 2 maanden...

volgens mij moet je dan maar bij facebook gaan solliciteren in plaats van te proberen een inkomen te trekken uit een beloon-systeem wat daar voor zover ik weet niet voor bedoeld is maar IMHO sowieso niet geschikt voor is

[Reactie gewijzigd door Verwijderd op 28 juli 2024 22:47]

JMaarse @PepijnK • 11 juli 2013 01:12

Maar in dit geval zou het je waarschijnlijk 100 maal zo veel opleveren als je het lek had verkocht op de zwarte markt. Daarom zou Facebook een wat hogere beloning moeten uitkeren om mensen over te halen het lek te melden ipv te misbruiken.

kakanox @JMaarse • 11 juli 2013 09:52

Zoals Oogje hierboven schrijft: Er is ook nog zoiets als moraal.

Ik ben sterk, in goede conditie, ben ontzettend handig achter het stuur (circuitervaring en veel werkkilometers achter de kiezen) en kan denk ik prima een pistool vast houden. Misschien dat m'n getinte huid en afkomst ook nog wel een beetje helpt

Toch kies ik ervoor om 40 uur per week voor een baas te ploeteren.

Het misbruiken van dat soort lekken is simpelweg crimineel. Ieder z'n ding zullen we maar zeggen...?

ebia @Unique93 • 10 juli 2013 19:49

Mager? Je kunt ook full disclosure gaan maar dan heb je niks... En alleen maar de kans dat zo'n toko je een proces aandoet.

Dit lijkt me een prima manier om beveiligingsonderzoekers over te halen fouten te melden, je weet immers dat het niet bestraft zal worden maar beloond.

True @ebia • 10 juli 2013 23:01

Ik speculeer, maar ELK mail adres van elke facebook gebruiker terwijl het een zero-day lek betreft. Ik denk op de zwarte markt moet je er 2 nullen achter zetten misschien wel meer.

wackmaniac @True • 11 juli 2013 09:11

Als ik de omschrijving zo hoor zal deze meneer langer bezig zijn geweest met het schrijven van het bug report dan met het vinden van de bug, dus dan is $3500 snel verdiend.

[Remmes] @Unique93 • 10 juli 2013 20:16

$3500 is meer dan de meeste mensen krijgen, vaak blijft het bij een bedankt email of helemaal niets.

markwiering @Unique93 • 10 juli 2013 20:17

Ik vind 3500 Amerikaanse dollars helemaal geen kleine beloning. Ik was juist verbaasd om te zien dat Gezichtboek zo genereus was. Ik dacht dat ze een kleine beloning zouden geven, zoals 5 dollar voor het melden van een lek. 3500 dollar is juist heel veel.

In de toekomst zullen we 3500 dollar heel weinig vinden aangezien de waarde van de Amerikaanse dollar constant blijft dalen, maar nu is 3500 dollar nog flink wat.

Chuckylee 11 juli 2013 07:25

wat kan iedereen toch zeuren, het is gewoon een boel geld klaar.

als je het perongeluk ontdekt; hé leuk meegenomen (kan je alleen afvragen hoe je in gods naam perongeluk zoiets probeerd maar dat terzijde)

als je het ontdekt omdat je het leuk vindt om te zoeken naar dat soort exploits.
hé geinig, de meeste hobby`s kosten geld. nu zomaar een (flinke) 13e maand erbij.

als je denkt; huh hier had ik veel meer voor kunnen vangen op "de markt",
dan ben jij degene die de privacy schendt, een bedrijf om zeep helpt, mensen dupeerd. en hopelijk Zwaar gestraft.

NovapaX @Chuckylee • 11 juli 2013 09:22

Zoiets probeer je niet 'perongeluk', maar dat probeer je gewoon even.
Als ik parameters in een GET-request zie staan en ik heb ff de tijd ga ik daar altijd even mee zitten klooien en kijken wat er gebeurt….
En als ik in de mood ben dan nog wel eens de webinspector in safari en kijk wat er allemaal met mijn POST-request worden meegestuurd… Ook gewoon om te zien of mijn plaintext wachtwoord niet in een cookie wordt gezet ofzo.. (ja, je komt gekke dingen tegen soms)

Als je daar een beetje mee bezig bent (af en toe wat webapps maken enzo) dan weet je in ieder geval wel waar je op moet letten.

Batiatus 10 juli 2013 21:06

3500 dollar is toch gewoon een mooi bedrag? Niet te vergeten de fame die je opdoet door op meerdere technische nieuwssites je naam te hebben staan

.

Ze hadden, net zoals Habbo, het ook kunnen negeren en na lastig doen van de melder hem zelfs aan kunnen klagen. Wat natuurlijk totaal nergens op slaat.

smiegles 11 juli 2013 05:55

Als ik dit had gezien was het mij niet eens opgevallen ik zie namelijk ook telefoon nummers op Facebook en dergelijken.

Pixeltje

11 juli 2013 07:36

Slordig foutje, maar netjes dat ze het melden (en niet het misbruiken) van dit soort gaten belonen. Levert meer op dan stug doorgaan en doen alsof er niets aan de hand is, lijkt me.

Vlad86 11 juli 2013 08:10

wat lief van die man om het even te melden, 3500 is echt symbolisch imo. iemand met andere bedoelingen kan makkelijk 50x dat bedrag uithalen

410Gone 10 juli 2013 20:48

Hmmm.. ik kreeg gisteren een medling tijdens inloggen op Facebook dat er op mijn email adres iemand heeft geprobeerd om in te loggen... zal wel niets met dit te maken hebben en ben waarschijnlijk te paranoide..

benji83 @410Gone • 11 juli 2013 08:55

Dat krijg je standaard en doen ze al jaren, als er iemand probeert in te loggen en dit fout doet, of vanaf een onbekende locatie, krijg je zo'n mail.

Verwijderd 12 juli 2013 00:59

Ook erg jammer is dat Facebook nog steeds de 1024-bit certificate (rsa-versleuteling) gebruikt. Terwijl cryptografen dit al vanaf 2010 afraden... Maar ja schild wel weer lekker in de kosten.

G4H 10 juli 2013 19:44

^ het is dan ook wel een erg simpele "exploit", hoor. Beetje het idee dat de troonrede/miljoenennota/kersttoespraak ieder jaar te vroeg naar buiten komt omdat hij al op de server staat en er met een URL wordt gespeeld.

https://twitter.com/annejan88/status/283300327585873921

Uiteraard wel netjes gedaan van Sclafani, dit had ook goed misbruikt kunnen worden.

[Reactie gewijzigd door G4H op 28 juli 2024 22:47]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (34)

Sorteer op:

Weergave: