שוב באג View as בפייסבוק.

Web
,
1
דיווח אחראי

responsible disclosure או coordinated vulnerability disclosure (בקצרה CVD) מתאר דרך אחראית לדיווח על חולשות ליצרן, שדיווח לציבור נעשה רק לאחר שהיצרן תיקן את החולשה. התיאור אינו כולל אולטימטום או מגבלת זמן שנאכפת על היצרן לתקן את החולשות, אך יש ארגונים\גופים שיחכו זמן מוגבל ואז אפילו אם לא הוכנס תיקון יפרסמו את הממצאים לציבור.

כפי שאתם רואים, במקרה כאן לא מדובר בדיווח אחראי. אני חושב שהפשטות מעידה שכנראה שהיא כבר מנוצלת.

אז שוב יש לפייסבוק באג ב-View As, באג שהיה קיים להם במערכת (לפחות) מיולי 2017 עד ספטמבר 2018. אני משער שגם הבאג הזה מאפשר לאסוף לכל הפחות רשימה של אנשים ואת התמונות הפומביות שלהם שאתה או את חברה שלהם.

איך מצאתי

מדי פעם אני מסתכל על הפרופיל שלי כ-“מישהו אחר”, בכדי לראות איזה מידע עלי הוא פומבי (לא צריך להיות חבר שלי בכדי לראות אותו), ואז אני קולט שרואים את רשימת החברים שלי - שלא הגיוני - כי אני זוכר שזה מוגבל אצלי ל-“רק אני”. בדקתי בהגדרות פרטיות, ואכן זה מוגדר על “רק אני”.

image

אז מה קורה כאן, האם אני יכול לראות את רשימת החברים של אחרים באותה הדרך?

אימות

אז בדקתי על כמה פרופילים של אנשים שאני לא חבר שלהם, ואני יודע שהם חוסמים את הצפיה ברשימת חברים שלהם (אם בגלל שזה Friends only או Only me). ואכן, ברגע שאני מוסיף את המחרוזת ?viewas=100000686899395 ל-URL bar, אני יכול לראות את רשימת החברים שלהם.

דוגמה

אם נקח לדוגמה את הפרופיל של יאיר נתניהו, נראה שבמבט רגיל לא ניתן לראות את רשימת החברים.

Screenshot from 2022-03-10 00-26-07
Screenshot from 2022-03-10 00-26-071921×1035 81.8 KB

אך ברגע שנוסיף את המחרוזת ?viewas=100000686899395 נוכל לראות שליאיר נתניהו יש 795 חברים ואת הרשימה המלאה.

Screenshot from 2022-03-10 00-31-34
Screenshot from 2022-03-10 00-31-341920×1038 63 KB

נוכל גם ללחוץ על הקישור “See all friends”, לצפות ברשימה בצורה יותר נוחה ואף לחפש בה, “אֱמֹר לִי מִי חֲבֵרֶיךָ וְאֹמַר לְךָ מִי אָתָּה”.

Screenshot from 2022-03-10 00-38-42
Screenshot from 2022-03-10 00-38-42939×565 64.4 KB

שמתם לב?

אין לי מושג למה מתחת לתמונת פרופיל מופיע שיש 791 חברים, ואילו במבט הקודם רשום 795…

היקף

אני לא יודע אם זה עובד על פרופילים שחסמו אותכם או שלא ניתן לצפות בהם מאיזשהי סיבה, לא יכלתי לבדוק (וכן, זה גם עבד על הפרופיל של מארק צוקרברג). ונראה שזה מציג אך ורק את רשימת החברים, ולא מידע נוסף (כגון תמונות או הודעות).

סכנה

השאלה עד כמה המידע הזה מסכן כאשר הוא חשוף וניתן לאיסוף (Scraping). אני חושב שרשימת חברים לא צריכה להיות פומבית, אין שום סיבה שאנשים יוכלו לבנות את המעגל החברתי שלכם; בעולם הפוליטי כנראה שמסוכן אף יותר (למי האדם מקושר, דרך מי אפשר למנף את הקשר ליעד). בנוסף המידע הזה יכול לשמש ל-הנדסה חברתית.

רגע, זה הבאג? ומה עם דיווח.

כן, מפתיע… פריצה באמצעות אמצעי טכנולוגי מתקדם, בשם דפדפן. והבאג דווח לפייסבוק, עדיין לא התקבלה תשובה מצידם.

2 לייקים
2

נראה שתיקנו את הבאג (או שעדיין בתהליך והפיצ’ר פשוט נחסם עד שיתוקן).

image
image600×540 30 KB