Κενό ασφαλείας στο Facebook, εκθέτει δημοσίως προσωπικά μηνύματα!
Τα μέλη του Facebook που έσπευσαν να προγραμματίσουν μέσω της υπηρεσίας Midnight Deliveries την αποστολή των εορταστικών μηνυμάτων τους για το νέο έτος, ενημερώθηκαν ότι ένα κενό ασφάλειας στην υπηρεσία τα καθιστά ορατά αλλά και διαγράψιμα από τρίτους. Η υπηρεσία τέθηκε εκτός λειτουργίας.
Το Facebook επιβεβαιώνει επισήμως το κενό ασφάλειας που αφορά στο απόρρητο των μηνυμάτων που αποστέλλονται ομαδικά αυτόματα σε «φίλους» τα μεσάνυχτα της 31ης Δεκεμβρίου 2012. Τα μηνύματα αυτά προορίζονταν για το Inbox κάθε παραλήπτη στο Facebook.
Όμως, μετά την αποστολή τους ο αποστολέας λαμβάνει ένα μήνυμα επιβεβαίωσης που περιλαμβάνει ένα URL με κωδικό επιβεβαίωσης. Το URL είναι μοναδικό αφού διακρίνεται από έναν μοναδικό εξαψήφιο αριθμό στο τέλος του (http://www.facebookstories.com/midnightdelivery/confirmation?id=XXXXX), περιγράφει το The Next Web.
Όπως διαπιστώθηκε, αλλάζοντας τυχαία τον εξαψήφιο αυτό αριθμό στο URL της υπηρεσίας, μηνύματα τρίτων γίνονταν ορατά. Ο μη εξουσιοδοτημένος χρήστης μπορούσε επίσης να τα διαγράψει, να δει τους παραλήπτες και τα μηνύματα, όχι όμως και τους αποστολείς (αφού εμφανίζεται η φωτογραφία του ίδιου του χρήστη).
Το πρόβλημα
περιγράφεται με λεπτομέρεια από τον Jack Jenkins ο οποίος το εντόπισε πρώτος και αφορά στην χρήση του app Facebook Stories.
Η υπηρεσία τέθηκε εκτός λειτουργίας για να εφαρμοστούν οι ενημερώσεις ασφαλείας.