Mam nadzieję, że to będzie post który trochę poruszy wszystkich facebook’owców. Ostatnio w ramach Social CRM patrzyłem sobie co da się śledzić na facebook’u. U znajomych, u nieznajomych, u klientów, u partnerów itd. Zaciekawiła mnie jedna rzecz – mechanizmy ochrony i uprawnień do zdjęć. Wszystko wygląda pięknie i fajnie. Dla naiwnych. Mechanizm php’owy w facebook’u rzeczywiście chroni użytkownika przed oglądaniem jego zdjęć. Przez facebook. Kiedy facebook wie, kim jesteś i czy masz prawa oglądać te zdjęcia. Ale faebook nie chroni Cię przed oglądaniem Twoich nawet najbardziej ukrytych zdjęć i filmów, kiedy… atakujący nie jest zalogowany do facebook’a i ogląda je po prostu za pomocą URL’a.

Przepis jest prosty – facebook wszystkie zdjęcia trzyma na zewnętrznym CDN’ie (Content Delivery Network). To jest w miarę jasne dla kogoś, kto trochę „kuma” internet. Co za tym idzie i jak można się domyślać – zewnętrzny CDN i dostawca miejsca ma gdzieś uprawienia facebook’a. To z kolei oznacza, że wyświetli każde zdjęcie, które chcesz obejrzeć, jeśli znasz link. Nas sposobem generowania i domyślania się linków nie będę się tu rozwodził. Ważne, że się da. W tym poście pokaże, jak klikając można sobie pooglądać czyjeś „prywatne i zabezpieczone” zdjęcia, albo je przesłać innym.
TEN POST MA CEL TYLKO INFORMACYJNY I NIE PONOSZĘ ODPOWIEDZIALNOŚCI ZA WYKORZYSTANIE PONIŻSZYCH INSTRUKCJI W ZŁYCH CELACH

Jak obejrzeć zabezpieczone zdjęcia ludzi, których Ty nie znasz, ale zna ich jakiś Twój znajomy?

  1. Poproś go, żeby wszedł na dowolne zdjęcie i kliknął „Właściwości”. Stamtąd niech skopiuje link do CDN’a, np. http://a5.sphotos.ak.fbcdn.net/hphotos-ak-snc6/162865_179294582101401_100000625804864_454470_2715330_n.jpg – to akurat moje zdjęcie z jakieś maszyny do gry
  2. Wejdź na ten link nawet bez logowania się do facebook’a – widzisz zdjęcia mimo, że nie masz do nich uprawnień. Już nie wspomnę, że nie jesteś moim znajomym pewnie 😉

Lepszy trick – jak oglądać zdjęcia osób, których nie znasz

  1. Zaproś dowolną osobę do znajomych i nie czekaj nawet aż zaakceptuje – wg facebook’a już jesteście znajomymi
  2. Wejdź sobie na dowolne jego zdjęcie i zobacz pod jakim linkiem jest trzymane na zewnętrznym CDN’ie. Poszperaj sam/a z URL’em – masz dostęp do wszystkich zdjęć tej osoby
  3. Teraz wyślij te linki znajomym – wszycy mogą be logowania oglądać „zabezpieczone” zdjęcia :).

Nie chcę się rozwodzić, jaki to syf i co może powodować taki totalny brak zabezpieczenia, ale łatwo sobie wyobrazić swoje „prywatne i zabezpieczone” zdjęcia na swoich portalach innych niż facebook, albo w reklamach. Ja odpadam.
Ja po znalezieniu w ten weekend tego hack’a rezygnuję ze zdjęć na fb. Nawet tych tylko dla znajomych :). Nie spodziewałem się, że tak słabo to działa. Social CRM w wykonaniu facebook’a jest niestety złym rozwiązaniem. Nie ma nic wspólnego z „Social”, którego się spodziewamy, opartym o relacje i powiązania. Wszystkie dane można po prostu wyciągnąć po linku, bez relacji. I bez zalogowania :).

Reklama