Dont worry .. Your data is safe with me :P .. Wayyy safer than FB #Its #Encrypted

A Facebook nemrég átlépte az 1 milliárd regisztrált felhasználót, amiből 600 millió mobilfelhasználó, Suriya Prakash pedig azt mondja hogy az ő számaikat gyerekjáték ledumpolni. Egy kis ízelítő privatepaste-n, kicsit cenzúrázva. Volt levelezés is a biztonsági csoporttal, akiknek úgy tűnik, hogy elsőre nem jött át hogy mi a para:

A módszer annyi hogy mobilszámokra keresünk, és ha van ilyen a rendszerben, illetve a felhasználó privacy beállításai is megengedik, akkor megkapjuk a felhasználó nevét/egyéb adatait. (http://m.facebook.com/search/?query=123456789) Ordas tahó módszer, de sajnos úgy tűnik hogy működik. Suriya blogjában találtam egy linket egy scriptre amivel meg lehet próbálni splojtálni a sérülékenységet, de nem ajánlott mivel a FB azóta már megreszelte, és 24 órára szögre akasztja a kevésbé fair játékosokat:

Your account has been temporarily suspended. We have detected some suspicious activity coming from this IP. As a security precaution, your account has been temporarily suspended.

Elméletileg... A srác azt mondja a blogjában hogy nem sikerült még kitiltatnia magát...

Vannak tippek hogy hogyan tudjuk megóvni az adatainkat az ilyen támadásoktól, de az ultimate megoldás az, ha nem adjuk meg. Van néhány gondolatom a sztorihoz:

• A FB default beállítása az hogy bárki utánad tud nézni a telefonszámod és az email címed alapján. Nehéz kérdés, hogy hol kell meghúzni a határvonalat a biztonság és az átlag felhasználók kényelme között... Ha magasan van a léc akkor az átlag user nem tudja majd használni, ha alacsonyan akkor meg jön a kiddo hogy "OMG h4cK3d WTF"... Egy biztos: valaki szopni fog, de az üzlet nem engedi hogy a felhasználó legyen az.
• Az hogy egy ilyen sügér egy ennyire agyatlan megoldással képes egy ekkorát leakelni az egy dolog, sokan megcsinálták már, sqlmaphoz is elég az 1 IQ pont. De most akkor ez bug, vagy nem bug? Én azt mondom hogy nem bug, hanem feature, de attól még hiba. Ez nem biztos hogy tiszta volt... Hiba például egy SQL injekt. De mivel ez az elvárt működése a keresésnek, ezért nem lehet azt mondani hogy rosszul írták meg. Pontosan azt csinálja amit kitaláltak, hogy csinálnia kell. Arra nem gondoltak, hogy jön egy ilyen kismókus, és ilyen módon fogja felhasználni. Mondhatjuk azt is hogy felvállalt kockázat, de ha reportolás előtt tudatában lettek volna annak hogy erre is felhasználható, akkor talán beleépítettek volna valami korlátozó mechanizmust, nem pedig utána. Hiba. Koncepciós, vagy tervezési hiba. *Szerintem.
• Biztosan sok-sok ilyen levelet kap naponta a security staff, és mindegyiket komolyan kell venni. Nem nehéz belefásulni, - sajnos tudom - de nem szabad fél vállról venni, mert bár lehet hogy aki reportol egy "bugot", az tényleg egy vadbarom, (és Excelből generálja a telefonszámokat mint ez is) de ha működik a vacka akkor nincs mese. Az én szerény véleményem az hogy jelen esetben a FB securitys arcok nagyon félvállról vették a kis kretént, és ez hiba. Lehet hogy nagy koponya aki a FB-nél a securitys cuccokat intézi, és csuklóból írja hexában a shellkódot arm-ra, és hányingere van már ezektől a láma reportoktól, de a masszív leak tényén nem változtat.