Privacy e Facebook: le foto non sono al sicuro

Privacy e Facebook: le foto non sono al sicuro
  • Commenti (7)
  • Condividi
  • Email
  • Stampa

joyoftech

Un anno fa circa era trapelata la possibilità di accedere senza alcun tipo di permesso alle foto private degli utenti di Facebook. Per un marobolano degli sviluppatori, era sufficiente ottenere l’user id di qualcuno per vedere le sue foto inserendo manualmente un indirizzo come questo:

www.facebook.com/photo.php?pid=1&view=all&subj=[uid]&id=[uid]

Sebbene la sicurezza sia migliorata, purtroppo una falla c’è ancora (e mette di nuovo in pericolo le foto di Paris Hilton e Mark Zuckerberg come l’anno scorso :-P).

Purtroppo gli ingegneri del software alle spalle del grande social network hanno di nuovo buttato su il lavoro. Infatti se voleste visualizzare questa mia stupenda foto…

http://www.facebook.com/home.php#/photo.php?pid=1891480&id=691200517

…Usando questo link, dovreste essere loggati su Facebook e essere miei amici. Ma, con buona pace della mia privacy, la foto in questione è incapsulata nella pagina con un altro indirizzo:

http://photos-a.ak.fbcdn.net/photos-ak-snc1/v2233/161/20/691200517/n691200517_1891480_5139.jpg

Mon dieux, che imbarazzo! Questo link è pubblico. Peggio: il suo link non è random, e con le cose in questo stato, è permanente ed univoco. Si tratta di un link al server fotografico, probabilmente potentissimo, di Facebook, che immagazzina più di 10 miliardi di immagini. Stando all’analista Joseph Bonneau esso si interpreta in questo modo:

  • Prendete le ultime tre cifre.
  • La prima è l’user id.
  • La seconda è il photo id, il numero identificativo della foto.
  • La terza è una specie di PIN, un codice di 4 cifre casuale come quello delle carte di credito.

Aumentare di un numero il photo id quasi sempre vi porta alla foto successiva dell’utente!
Da questo deriva che l’unica barriera tra le vostre foto private e qualsiasi browser è un numero di 4 cifre, la cui sicurezza può essere violata da qualsiasi attacco brute force in 45 minuti, anche perchè i server fotografici di Facebook non hanno nessun meccanismo che ne blocchi l’accesso dopo un tot di tentativi! Inoltre, siccome il PIN deriva dal timestamp dell’upload, è sempre un numero incrementale, cosa che facilita ancora di più il lavoro di un hacker, che può indovinare tutto un album con una dozzina di tentativi per tutte le foto dopo la prima.

Il “buco”, insomma, è meno drammatico di quello dell’anno scorso, ma sempre preoccupante per la negligenza di chi ha pensato l’intero sistema. In ogni caso, basta aumentare il numero di caratteri del PIN per risolvere il problema, e speriamo che il social network ci pensi in fretta. Non si tratta di buona pubblicità, questo è poco ma sicuro.

Immagine da joyoftech.com

556

Fonte | Light Blue Touchpaper

Condividi questo articolo con i tuoi amici di Facebook

Lun 23/02/2009 da in ,

Commenta

Ricorda i miei dati

I commenti possono essere soggetti a moderazione prima della pubblicazione, pertanto potreste non vederli direttamente online non appena li inviate. Se ritenuti idonei, verranno comunque pubblicati entro breve.

Pubblica commento
3ert 23 febbraio 2009 13:50

Avete provato con questo link cosa accade!!!!!!!!

http://photos-a.ak.fbcdn.net/photos-ak-snc1/

Chi è costui!!!!

Rispondi Segnala abuso
rammit
Rammit 23 febbraio 2009 13:54

sì, ho visto anche prima, mi chiedo anche io chi diavolo possa essere :D

Adesso comunque è diventato improvvisamente famoso :P

Segnala abuso
Andrea 13 marzo 2009 11:17

(pensavo di aver già inviato il mio commento, ma a distanza di ore non lo vedo ancora)

Ho scritto un articolo che tratta principalmente lo stesso argomento (mi sono accorto dopo che esisteva già questo, che comunque ho citato) ma aggiunge un altro piccolo inconveniente riguardo le foto cancellate.
Se volete dargli una lettura, lo trovate qui:
http://www.sciamanna.eu/blog/2009/03/12/facebook-nessuna-privacy-per-le-nostre-foto/

Rispondi Segnala abuso
Antonio 17 aprile 2009 21:33

Non è chiaro…

Per conoscere la “photoid” devo comunque aver già inserito il tizio tra gli “amici”…
Ma se l’ho già inserito tra gli “amici” allora già vedo le foto….

Altrimenti come faccio a sapere la PHOTOID ???

E’ così o mi sono perso qualcosa ?

Rispondi Segnala abuso
Andrea 18 aprile 2009 00:07

Non necessariamente. Se provi a cercare me, per esempio, mi trovi fra i risultati della ricerca, anche se non siamo amici. Da lì, frugando nell’html, è piuttosto facile recuperare il mio ID.
A quel punto, basta andare un po’ a tentativi per frugare fra le mie foto, usando degli ID a caso (photo id, in questo caso).

Insomma, non è una passeggiata, ma nemmeno un lavoro da matti: si può fare a mano o, se si è pigri, con due righe di codice.

Rispondi Segnala abuso
rammit
Rammit 18 aprile 2009 00:38

in poche parole, si tratta di un lavoro che non ha nessun senso intraprendere per le foto di pinco pallino, ma se invece vuoi vedere le foto della tua ex, del tuo dipendente o di qualche altra persona vulnerabile… Se hai il know how non è impossibile, purtroppo.

Segnala abuso
Andrea 18 aprile 2009 00:51

Il mio punto di vista è che non è importante come fare a reperire una foto e quanto sia complicato di farlo, ma semplicemente il fatto che sia possibile farlo. Senza escludere poi che, una volta noto l’indirizzo della foto, anche se la si cancella da Facebook, questa resta di fatto SEMPRE reperibile, come ho spiegato pochi commenti fa.

Rispondi Segnala abuso
Seguici