Исследователь из Бельгии Инти де Кёклайре сообщил о том, что любой желающий может увидеть ссылки, которые пользователи передают друг другу в частном порядке.
Инти де Кёклайре рассчитывал, что получит крупную премию за свою находку, но в Facebook отказываются признать ее багом. Сотрудники компании заявили исследователю, что разработчики прекрасно осведомлены о возможности обращения к Facebook Graph API и последующего извлечения из базы данных ссылок, которыми пользователи ранее делились друг с другом. В Facebook не намерены с ней ничего делать.
Суть проблемы заключается в процессе обработки ссылок в Facebook. Когда пользователь в частном порядке отправляет ссылку кому-нибудь или же размещает ее в открытом доступе, платформа анализирует адрес. После чего он отображает заголовок веб-страницы, ее краткое описание, миниатюру изображения и создает идентификатор object ID. Далее все эти сведения сохраняются в базе данных.
Эксперт выяснил, что при прямом обращении к Facebook Graph API и случайном переборе object ID с настройкой фильтрации можно в ответ получать ссылки, включая те, что пользователи ранее в частном порядке отправляли своим друзьям.
По словам де Кёклайре, нельзя связать полученные результаты с конкретными пользователями Facebook. Но с помощью обычного полного перебора разных object ID пользователь может создать большую базу ссылок, многие из которых будут вести к личным файлам. Эти файлы могут содержать конфиденциальную информацию, включая имена пользователей, их адреса, сведения о банковских счетах и медицинские записи. Кроме того, с помощью ссылок можно будет просматривать фотоснимки, документы и видеозаписи, которые скрыты от посторонних глаз, в том числе хранящиеся на облачных сервисах.
В своем блоге де Кёклайре процитировал сообщение, которое он получил от представителей Facebook в ответ на свое письмо. Сотрудники компании утверждают, что находка де Кёклайре вовсе не является уязвимостью. По их словам, это задокументированный функционал, сведения о котором содержатся в документации, предназначенной для разработчиков.