Privacy e Facebook: le foto non sono al sicuro
Un anno fa circa era trapelata la possibilità di accedere senza alcun tipo di permesso alle foto private degli utenti di Facebook. Per un marobolano degli sviluppatori, era sufficiente ottenere l’user id di qualcuno per vedere le sue foto inserendo manualmente un indirizzo come questo:
www.facebook.com/photo.php?pid=1&view=all&subj=[uid]&id=[uid]
Sebbene la sicurezza sia migliorata, purtroppo una falla c’è ancora (e mette di nuovo in pericolo le foto di Paris Hilton e Mark Zuckerberg come l’anno scorso :-P).
Purtroppo gli ingegneri del software alle spalle del grande social network hanno di nuovo buttato su il lavoro. Infatti se voleste visualizzare questa mia stupenda foto…
http://www.facebook.com/home.php#/photo.php?pid=1891480&id=691200517
…Usando questo link, dovreste essere loggati su Facebook e essere miei amici. Ma, con buona pace della mia privacy, la foto in questione è incapsulata nella pagina con un altro indirizzo:
http://photos-a.ak.fbcdn.net/photos-ak-snc1/v2233/161/20/691200517/n691200517_1891480_5139.jpg
Mon dieux, che imbarazzo! Questo link è pubblico. Peggio: il suo link non è random, e con le cose in questo stato, è permanente ed univoco. Si tratta di un link al server fotografico, probabilmente potentissimo, di Facebook, che immagazzina più di 10 miliardi di immagini. Stando all’analista Joseph Bonneau esso si interpreta in questo modo:
- Prendete le ultime tre cifre.
- La prima è l’user id.
- La seconda è il photo id, il numero identificativo della foto.
- La terza è una specie di PIN, un codice di 4 cifre casuale come quello delle carte di credito.
Aumentare di un numero il photo id quasi sempre vi porta alla foto successiva dell’utente!
Da questo deriva che l’unica barriera tra le vostre foto private e qualsiasi browser è un numero di 4 cifre, la cui sicurezza può essere violata da qualsiasi attacco brute force in 45 minuti, anche perchè i server fotografici di Facebook non hanno nessun meccanismo che ne blocchi l’accesso dopo un tot di tentativi! Inoltre, siccome il PIN deriva dal timestamp dell’upload, è sempre un numero incrementale, cosa che facilita ancora di più il lavoro di un hacker, che può indovinare tutto un album con una dozzina di tentativi per tutte le foto dopo la prima.
Il “buco”, insomma, è meno drammatico di quello dell’anno scorso, ma sempre preoccupante per la negligenza di chi ha pensato l’intero sistema. In ogni caso, basta aumentare il numero di caratteri del PIN per risolvere il problema, e speriamo che il social network ci pensi in fretta. Non si tratta di buona pubblicità, questo è poco ma sicuro.
Immagine da joyoftech.com
Fonte | Light Blue Touchpaper
Condividi questo articolo con i tuoi amici di Facebook
![Facebook vuole Waze, Microsoft punta a Nook [FOTO]](http://static.trackback.it/trackback/fotogallery/625X0/3529/waze-navigatore-gratis.jpg)
sì, ho visto anche prima, mi chiedo anche io chi diavolo possa essere :D
Adesso comunque è diventato improvvisamente famoso :P
(pensavo di aver già inviato il mio commento, ma a distanza di ore non lo vedo ancora)
Ho scritto un articolo che tratta principalmente lo stesso argomento (mi sono accorto dopo che esisteva già questo, che comunque ho citato) ma aggiunge un altro piccolo inconveniente riguardo le foto cancellate.
Se volete dargli una lettura, lo trovate qui:
http://www.sciamanna.eu/blog/2009/03/12/facebook-nessuna-privacy-per-le-nostre-foto/
Non è chiaro…
Per conoscere la “photoid” devo comunque aver già inserito il tizio tra gli “amici”…
Ma se l’ho già inserito tra gli “amici” allora già vedo le foto….
Altrimenti come faccio a sapere la PHOTOID ???
E’ così o mi sono perso qualcosa ?
Rispondi Segnala abuso Non necessariamente. Se provi a cercare me, per esempio, mi trovi fra i risultati della ricerca, anche se non siamo amici. Da lì, frugando nell’html, è piuttosto facile recuperare il mio ID.
A quel punto, basta andare un po’ a tentativi per frugare fra le mie foto, usando degli ID a caso (photo id, in questo caso).
Insomma, non è una passeggiata, ma nemmeno un lavoro da matti: si può fare a mano o, se si è pigri, con due righe di codice.
Rispondi Segnala abuso in poche parole, si tratta di un lavoro che non ha nessun senso intraprendere per le foto di pinco pallino, ma se invece vuoi vedere le foto della tua ex, del tuo dipendente o di qualche altra persona vulnerabile… Se hai il know how non è impossibile, purtroppo.
Segnala abuso Il mio punto di vista è che non è importante come fare a reperire una foto e quanto sia complicato di farlo, ma semplicemente il fatto che sia possibile farlo. Senza escludere poi che, una volta noto l’indirizzo della foto, anche se la si cancella da Facebook, questa resta di fatto SEMPRE reperibile, come ho spiegato pochi commenti fa.
Rispondi Segnala abuso
![Migliori app Android per viaggiare [FOTO]](http://static.trackback.it/trackback/fotogallery/90X58/3499/migliori-app-android-per-viaggiare.jpg)
Avete provato con questo link cosa accade!!!!!!!!
http://photos-a.ak.fbcdn.net/photos-ak-snc1/
Chi è costui!!!!
Rispondi Segnala abuso