Cerca nel blog

2010/01/29

Facebook, le foto private sono pubbliche. Privacy in Facebook? “In realtà non esiste”, dice F-Secure

Questo articolo vi arriva grazie alle gentili donazioni di "assant" e "gabriele.far****". L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2010/02/02.

Leggendo il magnifico blog di sicurezza della società F-Secure mi sono imbattuto in questa chicca molto educativa. Volete far capire a qualcuno che il concetto di foto privata su Facebook è pura fantasia? Fate anche voi quest'esperimento: andate alla vostra pagina Facebook, se ne avete una, o a quella dell'utente Facebook al quale volete dimostrare il concetto. Cliccate su Carica Foto e caricate una foto. Poi impostatene subito la privacy scegliendo Personalizzata e poi Solo io, come nell'esempio qui sotto.

In teoria dovreste poterla vedere soltanto voi, giusto? C'è scritto chiaro e tondo "Solo io posso vedere questo elemento". Ecco la foto privata, vista dall'interno del mio account su Facebook:

Date un'occhiata a cosa c'è scritto anche in fondo alla schermata: c'è un link che dice "Condividi questa foto con chiunque mandandogli questo link pubblico". Un momento. Se la foto è privata, perché ha un link pubblico, raggiungibile dall'esterno?

Provate voi stessi. L'esempio che ho mostrato qui sopra è reale e funzionante, e il link è questo. Per vederla non serve neanche essere membri di Facebook.

Non è difficile scoprire questi link a foto che gli utenti credono private. Morale della favola: se volete che una foto sia privata, non pubblicatela.


Aggiornamento ore 17:40


Una lettrice, Anna, poco convinta del rischio privacy di questi link, ha accettato simpaticamente la mia sfida: come potete leggere nei commenti qui sotto, ha impostato uno dei suoi album in modo che solo lei possa vedere le foto. Il suo nome su Facebook è Anna Calarco. Segnalate i link nei commenti qui sotto. Buona caccia.


Aggiornamento 2010/02/02


Non so se la caccia sta proseguendo e con quanto impegno, ma finora nessuno ha trovato la foto-bersaglio. Resta il fatto che è scorretto da parte di Facebook offrire un link pubblico, accessibile senza login, a una foto e al tempo stesso dichiararla privata e visibile soltanto all'utente.

273 commenti:

1 – 200 di 273   Nuovi›   Più recenti»
Giako ha detto...

E' vero Paolo, l'avevo notato anche io questa anomalia (ma c'è da sempre). Però solo il proprietario delle foto vede il link. Dovresti beccare l'indirizzo a casaccio (è possibile, chiaro).

Concordo altresì che sarebbe bene che non ci fosse nemmeno 'sto link, oppure che fosse attivabile a richiesta (un po' come sulle varie piattaforme di Google)

Rodri ha detto...

Oltretutto se qualcuno chiude l'accesso ai suoi album foto ma non a quello della bacheca, il guardone di turno può accedere alle foto che ha appena caricato perché vengono pubblicate e linkate in bacheca. Una volta visualizzata una foto, si possono visualizzare tutte quelle dell'album di cui fa parte, scavalcando così la protezione.
A volte è interessante :-)

MG55 ha detto...

Il discorso, peraltro, vale pure per Flickr (almeno era così qualche tempo fa), almeno per quanto riguarda l'URL dell'immagine, mentre la pagina che la contiene dovrebbe essere effettivamente bloccata.

Turz ha detto...

@Rodri:
bacheca = wall? (cioè quella pagina dove chiunque può scriverti stronzate che poi tutti i tuoi amici possono vedere?)

Motivo in più per averlo disabilitato.

paolo raffaelli ha detto...

Non vorrei essere cattivo... ma non è così difficile capire che tutto quello che mettiamo in rete è potenzialmente visibile a tutti. Come dici in chiusura, ciò che non vogliamo che altri vedano non va messo in rete, punto.

Rodri ha detto...

Ma su Flickr è ancora così, se ti accorgi di scaricare lo spaceball.gif è sufficiente (con Firefox) visualizzare le info della pagina, e sotto Immagini cercare l'elemento che interessa. Da lì se ne può ricavare il link "reale" oppure salvare direttamente l'immagine "protetta". Idem per alcune foto di eBay. E per milioni di altri siti :-)

L'economa domestica ha detto...

Sono sempre più convinta della mia scelta di non avere account su social network vari.
Foto cattura lettrici, comunque.

Luigi Rosa ha detto...

"Privacy" e "social network" sono due concetti antitetici.
Chi mette roba privata (foto, dati, video) che non vuole condividere con tutti in un social network e' un gonzo.

Cat Sitwoy ha detto...

Miao a tutti,
vi ricordo che vale sempre la Clausola di Cat Sitwoy.

fred84 ha detto...

principio di internet numero uno: se puo' essere visto, puo' essere scaricato

corollario: se puo' essere scaricato ha un indirizzo unico che lo identifica

se uno si ricorda questo basilare principio, secondo me e' gia' un bel passo avanti.

detto questo, per trovare le foto ci vogliono una serie di serie numeriche (id utente, id album e id foto), qualcuno conosce qualche programmino che tenta le serie finche' non trova un riscontro? :D (dato l'id utente, ovviamente)

Fry Simpson ha detto...

Sì, però il link "pubblico" è visibile solo al proprietario dell'account, che può decidere di inviarlo a una persona di cui si fida (è chiaro che se la fiducia è mal riposta...).

Se il proprietario non lo invia a nessuno, è ben difficile che qualcuno azzecchi tirando a caso un url come:
http://www.facebook.com/photo.php?pid=4462817&l=f4663c64e2&id=643461254

Allora si potrebbe presumere che tirando a caso io indovini una coppia login-password, o un codice segreto per la ricarica Vodafone.

martinobri ha detto...

Sono sorpreso. Dal fatto che nella foto scelta per la prova non ci sia un gatto.
E' successo qualcosa? :-)

Fabrizio Sebastiani ha detto...

evidentemente intendono per "privato" il semplice fatto che la parte parametrica dell'url "pid=4462817&l=f4663c64e2&id=643461254" può essere raggiunta solo conoscendo tutti questi numeri, ma una volta noti diventano pubblici. Mi pare una rozza implementazione del vecchio e concetto di "security through obscurity". Davvero rozzo, non c'è che dire.

FridayChild ha detto...

E' vero che in linea di principio tutto cio' che e' condiviso in rete Internet e' in qualche modo "pubblico", pero' e' *quanto meno* fuorviante far credere all'utente che sara' l'unico a potere vedere la foto (cioe' che solo un utente loggato su Facebook con la sua username e la sua password potra' vederla) quando in realta' si intende solo "security through obscurity" (non verra' inserito il link alla foto bello cliccabile da nessuna parte).

Fry Simpson ha detto...

ho capito, ma anche una coppia login-password è una stringa di caratteri che se non mantenuta riservata inficia la sicurezza di tutto l'account...

Wendell Ricketts ha detto...

Chiedo scusa, ma non e' vero, e non non capisco la mania di cercare di spaventare tutti con l'uomo nero di Facebook. FB fa quello che fa la rete (e che ha fatto per diversi anni). Quindi, si', se non vuoi che qualcuno veda una foto o altro contenuto, e' meglio non metterla su internet. Detto cio', non e' nemmeno vero che "le foto private sono pubbliche." Certo - quando carichi una foto, appare quell'avvertenza e il link alla foto, ma appare SOLO A TE! Non e' pubblico. Percio', se non condividi quel link con nessuno, le foto RIMANGONO PRIVATE. (Allo stesso tempo, se vado alle foto di un amico, non appare quel link, quindi io non posso rendere "pubblica" una sua foto -- a meno che io non la scarichi e la riposti, che ho sempre potuto fare, a prescindere da facebook.) Lo scopo di FB e' di darti uno strumento per condividere il tuo "contenuto" con il tuo "network," percio' mi sembra ovvio che ti diano la possibilita' di passare agli amici un link ad una foto "privata". Ma non sono rese automaticamente o "segretamente" pubbliche - lo diventeranno se passi il link ad altri, come qualsiasi altro link su internet.

Anonimo ha detto...

Non capisco onestamente cosa ci sia di strano...
Anche la tua password è segreta me se la dici a qualcuno questa non lo è più.
L'importante è che nessuno possa accedere alla foto attraverso altre vie, tipo indicizzata da google, o semplicemente andando in giro nel mio profilo, ma solo se io gli do accesso.
Anche Skitch ad esempio funziona allo stesso modo. Se quello che carichi vuoi che sia privato puoi farlo, e potrai accedervi solo tu o chi ha avuto da te il link diretto per accedervi.

Rodri ha detto...

Leggendo quel che ha scritto Wendell, e riallacciandomi all'aggiramento della protezione che ho descritto all'inizio, mi vien anche da ricordare che lo stesso identico effetto lo si ottiene con i commenti alle foto. Se io proteggo una foto ma non la bacheca, e commento una mia foto (p. es. in risposta ad un altro commento), sulla bacheca viene visualizzato il link alla foto che ho commentato. Da lì un estraneo accede alla foto e all'intero album "protetto".

Facebook è facilmente e continuamente preso di mira, ma non per caso o per ostinazione. Semplicemente lo è perché non si capisce l'isteria collettiva di parteciparvi, quotidianamente per di più, il morboso desiderio di sbandierare una marea di stupidate, commenti, dati, pensieri, fotografie. Solo lì. A disposizione però di chiunque.

"Io sono attenta alla mia privacy. Cosa? Sì, certo che sono iscritta a Facebook, perché?".

Io l'ho usato per 2 mesi per capire a che livello fosse messa la gravità della cosa, visti gli articoli di Paolo. Che sorprese. Ho avuto una sorpresa bellissima, ma è stato un fuoco di paglia. Mi son fatto grasse risate, ma di pura perfidia. Mi son persino messo a cercare una ex collega, e scoprire che è morta 4 mesi fa per droga (e la gente sta ancora oggi a scrivere sul suo profilo "Mi manchi", "C'è una stella in cielo", e cazzate varie!). Strabiliante anche il tempo che si riesce a perdere in quel sito; chiaro che è un toccasana per chi ha una vita così vuota da doverla colmare con giochini e quiz, però fischia mi sembra pazzesco...
Al secondo mese ho fatto tabula rasa dei contatti.

markogts ha detto...

Sono sorpreso. Dal fatto che nella foto scelta per la prova non ci sia un gatto.
E' successo qualcosa? :-)


Avevano coniglio per cena, ieri, in casa Attivissimo...

Carlo Recagno ha detto...

Il link pubblico esiste per rendere i contenuti di facebook accessibili (se lo si desidera, e sempre caso per caso) anche a chi non vi è iscritto. Il link che compare a quella pagina è visibile solo all'interessato, finchè resta appunto in quella pagina. Se l'utente decide di inviare il link ad altre persone, allora quella è una sua scelta. Se decide invece di non inviare il link a nessuno, allora la foto resta visibile a lui soltanto.

Antonio ha detto...

Io non ne capisco molto di informatica ma è così difficile creare una sorta di spider che vada ad aprire qualche centinaia di migliaia di indirizzi? A me viene in mente la possibilità di scriverlo banalmente in C++ (linguaggio studiato ai tempi dell'università) del resto le foto hanno l'indirizzo IP nella forma http://www.facebook.com/
photo.php?pid=(primo codice identificatifo)&l=(secondo codice identificativo)&id=(identità dell'utente)

Lord Gordon ha detto...

Ciao, avevo notato anche io questo fatto mesi fa e avevo anche pensato ad un eventuale hack. Ma bastano poche prove per vedere che l'id dell'album e della foto sono numeri praticamente pseudo casuali e non collegati tra loro (credo siano praticamente sequenziali sulla base degli album e delle foto caricate da tutti gli utenti, qundi impredicibili per un singolo utente). Andare a caso quindi non garantisce in tempi umani di indovinare proprio l'album e la foto privata che si cerca, per ora. Effettivamente è un sistema ingannevole: uno si aspetta che privato significhi che l'accesso sia controllato attraverso la login, ma non è così. E' più corretto dire che è nascosto, come è stato fatto notare nei precedenti commenti.

Lord Gordon ha detto...
Questo commento è stato eliminato dall'autore.
Lord Gordon ha detto...

Antonio: mi hai battuto sul tempo ;)

Quello che dici te lo posso scrivere anche in meno di un'ora, e in linguaggi più comodi come il python. Il problema di questo algoritmo è la complessità temporale: per ogni singolo utente devi controllare ogni possibile id dell'album e per ogni album ogni possibile id della foto. Solo l'id della foto sono 9 cifre. L'album ha 7 caratteri alfanumerici. Bisorrebbe analizzare meglio la struttura per capire se è possibile qualche ottimizzazione, ma per le possibilità di calcolo (e di connessione a internet) di un utente normale non è fattibile.

Lighthousely ha detto...

Io questa cosa della privacy sinceramente non la capisco. Nel senso che per me è tutto molto semplice. Ci tieni alla tua privacy? E allora non apri blog, social network, ecc... Non hai nulla da nascondere e non ti importa che sappiano chi sei e che faccia hai? Allora fallo. Quelli che aprono account su facebook e poi si lamentano del problema della privacy, secondo me, sono veramente da prendere a sberle finchè non diventano intelligenti.
Io ho un account su facebook, non con nome e cognome ma con il mio nick che uso ovunque, chi mi conosce sa che sono io, chi non mi conosce fa più fatica a trovarmi e se mi trova, pazienza!

The Foe-Hammer ha detto...

Sono completamente d'accordo con quello che dice Fry Simpson. Voglio vedere qualcuno indovinare un codice 4462817&l=f4663c64e2&id=643461254 senza che qualcuno glielo dica. A meno che non siano agenzie come la NSA.
Ma cosa se ne fanno queste agenzie di foto private ?
Mi sembra un po' che si voglia fare terrorismo psicologico nei confronti dei social networks

pmaxim ha detto...

Non c'e' alcun codice da indovinare. Se vuoi cercare le singole foto e' ovvio che la cosa diventa complicata, ma e' molto piu' semplice individuare l'album: le foto le ritrovi automaticamente di conseguenza.
www.facebook.com/album.php?aid=numero_album&id=identificativo_utente
L'identificativo_utente lo trovi in modo banale.
Il numero_album e' solo un valore progressivo non infinito (se cominci con -3 potresti trovare subito delle sorprese).
Ovviamente devi aver effettuato un login in facebook (nessuno controlla se son veri i tuoi dati!)

Antonio ha detto...

@Lord Gordon
sicuramente è inapplicabile a tutti gli utenti, ma inserendo il codice di una persona (lo si ottiene facendo una semplice ricerca su google) rimangono da identificare gli album (e sono solo 7 caratteri) e poi le foto. In pratica si tratta di costruire un programma che una volta identificata una foto memorizza il codice dell'album e ricerca le relative foto. L'unico problema potrebbe essere i tempi della connessione a internet.

Giacomo ha detto...

Ciao Paolo,
tu dici: "Non è difficile scoprire questi link a foto che gli utenti credono private. Morale della favola: se volete che una foto sia privata, non pubblicatela. " Ma è veramente così? prova a vedere se riesci a documentare un esempio. ovvero: a meno che non sia io a mandare ad un mio amico il link come fa quest'ultimo a risalire ad un link esatto? lugherìn

mattia ha detto...

Giusto per parlare delle conseguenze.
Oggi un mio amico è stato svegliato dalla receptionist della casa dello studente dove vive.
La notte prima avevano fatto un macello nello studentato per festeggiare la fine degli esami, e la direzione ha deciso di multarli.
Sapete come hanno ricavato i nomi dei partecipanti? Dai tag delle foto su FB.

Mousse ha detto...

@fred84: dammi 10 minuti, bash e wget (curl mi sta sulle balle) e ti faccio uno scriptino ad hoc :p

Comunque si, la privacy sui social network è abbastanza opinabile, ma appunto per questo chi li gestisce non dovrebbe dare un falso senso di sicurezza con indicazioni fuorvianti.

Jon Lord ha detto...

In parole povere: se una foto è privata.... Tienila per te!

Anonimo ha detto...

Pensa che io un sacco di foto (più o meno interessanti) di gente che non ho nei contatti e per cui il link "photo" non è disponibile le vedo semplicemente seguendo i link di provenienza nell'"analytics" del mio blog.

Cliccando su quelli di FB, eliminando parte del link, si riesce ad accedere a gallerie private di sconosciuti. :-/

Juleps ha detto...

"Morale della favola: se volete che una foto sia privata, non pubblicatela"

Mi sembra ovvio.
Che senso avrebbe pubblicare una cosa se voglio che sia privata?

Se la pubblico sul web, Facebook o altrove, è perché a qualcuno (amici e/o amici degli amici e/o tutti) la voglio fare vedere.

Il link "pubblico" della foto lo vedo solo io che ho pubblicato la foto e se lo mando in giro a terzi è perché ho intenzione di far vedere la foto.

Credo sia estremamente difficile (non dico impossibile) che qualcuno che non conosce il link possa vedere la foto.

Qualcuno saprebbe smentirmi e farmi vedere come trovare una foto privata di un profilo particolare?
Non una a caso raggiungibile sparando a caso dei codici numerici?

Mk178 ha detto...

cmq, ulteriore precisazione da inserire nell'articolo:

la foto è raggiungibile anche dai non iscritti a Facebook, dal link diretto al servizio di hosting ke utilizzano:

http://photos-f.ak.fbcdn.net/hphotos-ak-snc3/hs156.snc3/18335_295259446254_643461254_4462817_2683477_n.jpg

Sullof ha detto...

Non che Facebook mi stia molto simpatico, ma qui non c'è violazione di privacy.
Quel link lo puoi vedere solo tu.
Ciò che lo rende "privato" non è il fatto che sia o meno fisicamente accessibile, ma se sia possibile che qualcuno che non conosca la url possa arrivarci in qualche maniera.
In questo caso è evidentemente impossibile, quindi la privacy è salva.
Lo stesso metodo viene usato dalla maggior parte dei sistemi che vendono sharing sicuro e nessuno proferisce obiezione.
Se vuoi la privacy assoluta, devi avere un sistema Host-proof Hosting, ma (e lo dico con cognizione di causa), attualmente ci sono una decina di servizi in giro per il mondo che ne fanno uso. Almeno per ora...

gluse ha detto...

Ciao a tutti, secondo me bisognerebbe distinguere due casi: se il link pubblico esiste già da prima che l'utente faccia click su "condividi", allora è una grossa falla nonché contraddizione.
Se invece il link viene generato al volo nel momento in cui l'utente sceglie deliberatamente di effettuare quell'operazione, allora non vedo quale sia il problema. Staresti solo permettendo all'utente di cambiare idea e rendere pubblica una foto che era privata.

Iilaiel ha detto...

@Rodri

Be per chi come ha parecchi amici all'estero è un modo comodo per tenersi in contatto regolarmente a costo zero. Hai presente quanto razzo costano le chiamate per Turchia, Lituania, USA, ecc?

Vale la buona vecchia regola della nonna: non pubblicare su internet niente che ti causerebbe imbarazzo se letto da tua nonna.

I social network sono tutto men che perfetti, ma onestamente il 99% dei problemi sono causati dall'imbecillità dell'utente.

Tukler ha detto...

Ma nessuno ha notato che cliccando sul link di Paolo, visualizzando la pagina il link viene riscritto in:
http://www.facebook.com/photo.php?pid=4462817&id=643461254? E che quel link basta da solo per visualizzare la foto?

Dal momento che il secondo è l'id dell'utente, basta indovinare il primo id (della foto) per visualizzarla.

A quanto ho visto è sempre un codice numerico che varia dalle 5 alle 7 cifre, quindi ritrovabile per forza bruta con una semplicità abbastanza ridicola.

Sicuramente in maniera esponenzialmente più facile che ritrovare una password, come suggeriva qualcuno, che solitamente può avere qualsiasi lunghezza ed essere composta di caratteri alfanumerici o simboli.

Inoltre, se l'utente carica diverse foto insieme, i loro id ovviamente sono sequenziali.

Quello che mi stupisce è quanta gente si sentano in dovere di difendere una piattaforma commerciale che sta evidentemente affermando il falso quando dice "la foto sarà visibile solo a te" e per la quale, in particolare, sarebbe abbastanza semplice implementare un controllo per decidere chi può accedere a quali foto (più difficile per i link diretti ai jpg)... ci sarebbe piuttosto da chiedersi perché non lo fanno.

L'economa domestica ha detto...

Paolo, scusa, markogts mi ha messo in testa un dubbio...
Che fine avete fatto fare al delizioso coniglietto della foto????

Anonimo ha detto...

Anche bloccando tutto il possibile si rimane scoperti. Anzi ho notato che alcune opzioni sono sparite.
Provate a bloccare gli inviti degli utenti nella zona dedicata alle impostazioni di privacy.... non funzionerà!
Le istruzioni sembra quasi che le abbia scritte il signor Tucker.

crestina ha detto...

tra l'altro come già segnalato su puntoinformatico rimane raggiungibile anche fuori da facebook, con link pubblico
(anche se eliminata)
http://photos-f.ak.fbcdn.net/hphotos-ak-snc3/hs156.snc3/18335_295259446254_643461254_4462817_2683477_n.jpg

questa immagine l'ho cancellata in data 12 marzo 2009
http://photos-c.ak.fbcdn.net/photos-ak-snc1/v2590/245/15/1424984917/n1424984917_30292706_4637703.jpg

cristina

fonte:
http://punto-informatico.it/2602790/PI/Commenti/niente-privacy-benvenuti-facebook.aspx

talpazzo ha detto...

Ho provato a taggarmi a vedere se poi appariva nel mio profilo (a disposizione di tutti), ma mi chiede comunque l'autorizzazione. Almeno quello :P

fred84 ha detto...

@Mousse: attendo :D

Rodri ha detto...

@ Marcogts
@ Economa

Ho seri dubbi che abbiano anche solo pensato di mangiarsi il coniglietto, ricordo infatti gli sguardi di disapprovazione quando dissi loro che in Ticino il piatto "pulenta e cunili" va alla grande...

Questi teneri coniglietti felici che fanno pot pot qua e là per i prati, e noi a mangiarli crudelmente... Zi zi zi boni boni boni arf gnammete :-P

L'economa domestica ha detto...

@ Rodri

A me avevano detto infatti che in Inghilterra il coniglio è considerato più che altro un animale da compagnia, non da forno con le patate come a Roma.
O in tazza, come da foto.

Francesco ha detto...

Io sono riuscito anche a condividere la tua foto..

nnzeus ha detto...

imho, il concetto di protezione della privacy, nell'era digitale, deve tenere conto anche del costo necessario per violare la privacy stessa.

altrimenti per il medesimo ragionamento, non dovrei tenerle salvate su un pc collegato ad internet.

e nemmeno in un pc, che puo' essere rubato.

il pc sarebbe meglio non usarlo proprio, dato che le foto sono una parte minima delle informazioni sensibili.

quindi non dovrei tenere con me un telefono cellulare.

e infine, evitare di trovarmi in aree video sorvegliate.

in pratica, il prezzo per la privacy totale e' il ritorno al secolo precedente.
non so quanti di noi siano disposti a farlo.

vero e' che l'utonto medio non utilizza nemmeno gli accorgimenti minimi, che possano mettere le informazioni al riparo quanto meno dagli altri utonti medi.

e quest'ignoranza è assolutamente apprezzata e agevolata da facebook.

Antonio ha detto...

@nnzeus,
è vero che non esiste sistema inviolabile, ma qua si sta parlando di un sistema con una falla aperta. Mi spiego meglio mi iscrivo a FB con dati falsi, cerco una persona, trovo il suo codice identificativo a questo punto se voglio vedere le sue foto non mi rimane che cercare tra dieci milioni di possibili combinazioni. Sono tante? meno di quello che possano sembrare...

Innominato ha detto...

non ci voleva F-SECURE per capirlo....

Anna ha detto...

Io sono su facebook, non sono una grandissima fan ma mi sembra sia stata fatta la scoperta dell'acqua calda... solo l'autore delle foto quel famoso link e sinceramente beccarlo a caso, tutto può essere ma non mi sembra così semplice dato che è composto da varie lettere e numeri.
Anna

Paolo Attivissimo ha detto...

Io sono su facebook, non sono una grandissima fan ma mi sembra sia stata fatta la scoperta dell'acqua calda

Anna, facciamo un piccolo esperimento: tu ci dici chi sei su Facebook e rendi privata una foto. Poi vediamo se riusciamo a trovarla. Che ne dici?

Rodri ha detto...

- Visualizziamo gli amici di Anna
- Ne prendiamo a casaccio 10 a cui chiedere "l'amicizia"
- 1 di loro garantito abbocca alla cieca
- se Anna ha impostata la visualizzazione delle foto agli amici degli amici, oppure chi ha abboccato ha fatto un commento a una qualche foto, accediamo alle foto di Anna.

Anna ha detto...

accetto la sfida! ho appena messo uno dei miei album in modalità che solo io posso vedere le foto. Mi scoccia un pò che tutti vedono il mio nome e cognome ma oramai, basta andare in google e si trovano tutti.... Sono Anna Calarco. Attendo un riscontro....

Anna ha detto...

Scusa Rodri, ma quì si parlava del link che compare all'autore delle foto in fondo alla pagina del suo album, ovvio che quando io metto che le mie foto siano visibili ad "amici di amici" metto già in conto che le possano vedere degli estranei....ma questa è un'altra cosa.

Paolo Attivissimo ha detto...

Grazie Anna, molto gentile! L'album ha qualcosa che ci permette di riconoscerlo? Come facciamo a sapere se abbiamo trovato quello giusto? C'è qualche foto del tipo "Complimenti hai vinto"? Potresti aggiungerla :-)

ǚşå÷₣ŗẻễ ha detto...

Penso che sia come ha detto Tukler, per cui sgamare una foto privata di Anna è solo questione di tempo.

Vediamo quanto tempo ci vorrà ;)

Anna ha detto...

ho aggiunto una didascalia in una delle foto,non so è quello che intendi, ma dovresti essere tu a dirmi qual'è la frase... vediamo se mi stupisci :))) !

Anna ha detto...

Scusa Paolo, non la fai tu la caccia?! il tempo passa....

Anna ha detto...

mi avete convinto... la didascalia è "a spasso con la Witty !"

Al ha detto...

Io ne ho trovate 5 di Anna Alarco: quali di queste sei?

magowiz ha detto...

La mia opinione è che non sono affatto d'accordo con chi tenta di minimizzare il rischio : è vero, se non ti viene comunicato tale link la foto è difficile da trovare (ma NON da vedere una volta trovata), però a parte il fatto di comunicare esplicitamente tale link esistono altri modi per ottenerlo :



- potendo accedere alla cronologia del computer da attaccare



- forza bruta , inoltre se uno è abbastanza scaltro da infettare decine di computer con un trojan potrebbe benissimo distribuire tale operazione su decine di macchine



Continuo a ritenere che questa di facebook sia una GRAVE FALLA, se riesco a ottenere in maniera lecita o illecita, fortunata o fortuita tale link, mi è garantito l'accesso anche se chi ha pubblicato tale foto ha negato tale permesso. Penso che non ci voglia molto, una volta raggiunto il link, impostare un controllo che ti obblighi a fare il login se non l'hai già fatto, e se l'hai già fatto ma non hai i permessi adatti dovrebbe assolutamente comparirti un messaggio del tipo :"permesso negato", siamo proprio all'ABC dell'amministrazione di sistema e web.

mario ha detto...

basterebbe che facebook desse la possibilità di generare un nuovo link.
... a qualcuno potrebbe essere utile che si vedano anche senza essere loggati

Anna ha detto...

sono quella dove nella foto compaiono 2 ragazze more

Paolo Attivissimo ha detto...

Scusa Paolo, non la fai tu la caccia?! il tempo passa....

Non la faccio (solo) io, e non la posso fare subito.

Simone Locci ha detto...

giochino interessante, ci proverò:))

Anna ha detto...

Bello il tuo micione bianco nero... ; )

Replicante Cattivo ha detto...

Ecco fatto. E' bastato chiedere l'amicizia a Anna con un account farlocco, lei ha accettato (per Anna, tiratina d'orecchie!) e da lì è stato facile riuscire ad entrare negli album privati.

Però preferirei evitare di scrivere quale sistema ho usato, perchè non vorrei che lo facessero altre persone.
Comunque la foto è questa
http://photos-g.ak.fbcdn.net/hphotos-ak-snc3/hs125.snc3/4462817&l=f4663c64e2&id=643461254.jpg

Yari Davoglio ha detto...

Replicante Cattivo,

hai postato un link che rimanda al video (non nuovo qui sul blog ;)) di Rick Astley. Secondo me ha ragione Anna (ed altri): se il contenuto è privato rimane tale.

Anna ha detto...

...ovviamente non date retta a replicante cattivo che evidentemente ha tanto buon tempo.. per fare il burlone!

Yari Davoglio ha detto...

E copincollando il link nella barra degli indirizzi si ottiene un bellissimo "Not found - The requested URL was not found on this server." ^^

Anna ha detto...

Bravo Yari, e comunque tengo a precisare che di recente non ho accettato nessuna amicizia a cui fa riferimento questo R.C.

Andrea Zoli ha detto...

Per fare il bruteforce basta usare una servlet che fa httprequest...
Fare richieste con l'autenticazione a facebook puo' portare alla sospensione dell'account (uso di bot), quindi controllate che siate sloggati prima di lanciare il bruteforce...

Buona programmazione. (p.s. e` piuttosto semplice anna ma manca la voglia e il tempo, ma qualcuno magari ci si mete a farlo... :D)

Yari Davoglio ha detto...

Andrea Zoli,

è piuttosto semplice per un programmatore che fa uso di hacking, però... O no? Io non ci riuscirei :P

Anonimo ha detto...

Paolo qualcosa però non mi torna.
L'immagine è raggiungibile anche senza conoscere il link pubblico che ci hai fornito: basta accedere alla tua bacheca visibile a tutti. Non sono pratico del gergo e dei meccanismi di facebook, quindi potrei direi una castroneria, ma secondo me bisognerebbe provare a rendere privata la bacheca o a togliere la foto da lì e vedere se il link pubblico funziona ancora.

Replicante Cattivo ha detto...

Anna: stai tranquilla :)
Non ti ho fatto nessuna richiesta di amicizia farlocca :)

La parte iniziale del post serviva solo per aumentare l'hype dietro il link che ho messo alla fine del post. E avendo mascherato il falso link con un link apparentemente verosimile, sono sicuro che molti hanno cliccato senza nemmeno porsi il dubbio di cosa ci fosse sotto.
Evidentemente non a tutti è noto il fenomeno del Rickrolling, ma tutti gli altri penso abbiano capito il giochino :D

Michele Levada ha detto...

Boh.. proviamoci almeno :)
Sei mora: ID 1661927365
oppure si bionda?: ID 1180965801

... poi però dobbiamo fare la parte più difficile, altri due ID ben più difficili :(

Antonio ha detto...

Un veloce passaggio. Vale anche se ne riparliamo lunedì? Attualmente non ho tempo di scrivere due righe di codice per verificare l'esistenza di 1000000 di pagine. Piccolo suggerimento tutti gli album di Anna (sempre che non abbia sbagliato persona) sono raggiungibili attraverso
http://www.facebook.com/album.php?aid=(xxxxxx)&id=1619179874

ovviamente al posto di xxxxxx ci vanno delle cifre. Non si tratta di indovinare più di una password ma di fare diversi tentativi, magari con un programma ad hoc

Michele Levada ha detto...

Più o meno stavo facendo la stessa ricerca... confidando però nelle doti dei motori di ricerca nel fare la cache dell'immagine :( purtroppo non sono in grado di fare un programmino che faccia un test 'brute force' sugli id.

Simone Locci ha detto...

io sto provando da prima a fare quello che dice antonio in Java ma non avendolo ancora approfondito a dovere sono in alto mare... :( comunque non mollo :D

Anna ha detto...

Ciao, per Michele e Antonio: entrambi i vostri ID non sono corretti. Comunque nella foto del mio profilo, come avevo già scritto, siamo 2 ragazze more.

Anonimo ha detto...

ma lasciate stare i brute force, il tempo e le risorse giocano contro di voi.
E poi come minimo all'i-esmia richiesta che quelli di facebook si vedono arrivare dal vostro codice vi bloccano l'indirizzo e vi tocca resettare il router se volete usare facebook normalmente.

MaiDireAudit ha detto...

Anna, id=1413933429
Giusto?
Per lo hack, 10 minuti di codice poi vi faccio sapere.
Magari 20, va...

bisonte_biscottato ha detto...

Facciamo mente locale.

il link pubblico è generato dall'unione di 2 indici numerici, uno è casuale e/o sequenziale, per trovare la foto serve la combinazione di entrambi.

Il 2° id è relativamente facile da ottenere in quanto si tratta di una chiave univoca associata all'utente.

Il 1° invece è un numero che non è direttamente legato al secondo parametro, quindi anche ottenendo il link ad una foto, non si riesce a risalire alle altre foto in quanto il numero successivo è collegato ad un altro id utente, oppure proprio inutilizzato.

Quindi un attacco brute force deve provare milioni di id photo associati ad un solo id utente.

Risultato? Facebook è in grado di rilevare facilmente una richiesta così anomala e bloccarla. Probabilmente c'è già un limite di richieste di links diretti per IP, anche se è bloccato a 10.000 richieste, servono migliaia di ip per provare un numero soddisfacente di chiavi casuali.

the_mic ha detto...
Questo commento è stato eliminato dall'autore.
the_mic ha detto...
Questo commento è stato eliminato dall'autore.
FridayChild ha detto...

OK, sono quasi convinto, ma resta il fatto che la dicitura non è chiara; ci vorrebbe quanto meno un link che spieghi ai più curiosi cosa si intende esattamente per "rendere privata" una foto.
Ovviamente non vale solo per Facebook, ma p.es. se non erro in Picasa la dicitura per un album di questo genere è "non in elenco", che mi pare più aderente alla realtà.

the_mic ha detto...

ah, sulla 'semplicità' di indovinare il solo album via brute force ho qualche perplessità....supponiamo di avere un algoritmo sicuro e veloce per riconoscere se un ID generato a caso corrisponde ad un album valido: dal momento che ogni ID è composto (mi sembra di aver capito) da 7 caratteri alfanumerici si tratta di provare 'solo' tutte le combinazioni possibili di 36 caratteri (26 lettere + 10 cifre) in 7 posizioni, vale a dire 36^7 (36 elevato alla 7 potenza), ovvero 36 moltiplicato per se stesso per dieci volte, ovvero 78.364.164.096 combinazioni.

E teniamo presente che per ogni combinazione dobbiamo fare una richiesta http, il che significa che anche il processore più veloce del mondo dovrà subire tutti i rallentamenti del caso.

Facciamo 2 conti: supponiamo che ogni secondo riusciamo ad elaborare 10 id (ipotesi assolutamente e sproporzionatamente ottimistica per un utente normale), fanno 36000 id all'ora, 864000 ogni 24 ore di elaborazione (spero di non aver sbagliato in conti), 315.360.000 id ogni ANNO. Per arrivare a provarli tutti con una semplice divisione arriviamo a scoprire che.......ci vorrebbero circa 250 anni!

Ovviamente esistono 'scorciatoie', come portare avanti più attacchi in parallelo, una cosa tipo SETI@home (in questo caso direi FBCracking@home) e poi potrei essere particolarmente fortunato e indovinarlo al primo colpo!

Insomma, è un po come se avessimo un immenso schedario del quale non conosciamo la disposizione dei contenuti (a meno che non ci venga indicata con un link) , ma in cui, in realtà, tutti i cassetti sono aperti. Vorremmo almeno saperlo.

MB

Tukler ha detto...

Paolo, sei sicuro di avere impostato correttamente le opzioni per quell'immagine?

La tua immagine è accessibile da qualsiasi utente loggato su facebook anche saltando il parametro "l" (col link che ho postato prima).

Inoltre basta essere loggati su facebook, visitare il tuo profilo e usare un piccolo accorgimento per vedere l'album con dentro la foto.

Ma io sto facendo delle prove col mio account e per le foto che imposto come "solo io" (o anche "solo amici") è necessario sempre anche il parametro "l", che sembra proprio essere una chiave calcolata dal sistema per rendere la foto visibile anche a chi in teoria non potrebbe (utenti non loggati compresi).

Se così fosse, accedere alle foto sarebbe possibile con estrema facilità se si hanno i permessi, possibile solo conoscendo anche la chiave "l" giusta se non li si hanno.

In teoria non è il massimo dell'eleganza e della sicurezza, ma probabilmente l'hanno fatto perchè è l'unico modo per rendere possibile mostrare volontariamente le foto anche a chi non è registrato.

In linea di massima la stima di the_mic sarebbe corretta, spostando il discorso proprio sulla ricerca della "l" giusta, e non dell'"aid" che è solitamente molto più semplice.
A meno di non riuscire a capire l'algoritmo in base al quale l'"l" potrebbe venire calcolato a partire da "id" e "pid" o "aid".

the_mic ha detto...

Tuckler, non capisco una cosa: perchè dici che identificare un aid sarebbe più semplice? Non si tratta di una stringa alfanumerica di 7 caratteri?

Tukler ha detto...

@the_mic:
L'aid dell'album di Paolo è 178563... l'aid del mio album addirittura 3010, guardandone altri a caso non ho mai visto più di 7 cifre numeriche. Lo stesso vale per i pid.

Tu ne hai visti di alfanumerici? tipo?

Comunque in ogni caso a quanto pare sapere aid e pid non basta, ci vuole la l.
Se ci sono foto o album che puoi vedere senza saperla, allora molto probabilmente sono pubblici o quasi, e aid e pid li puoi sapere anche senza forza bruta.

Barze ha detto...
Questo commento è stato eliminato dall'autore.
Barze ha detto...

Facciam due conti dopo una guardata al link di Paolo:

&pid=4462817&l=f4663c64e2&id=643461254

&pid = 7 caratteri: sembrerebbero solo numeri, non ho un'utenza facebook non posso verificare pero' fan 10 milioni di possibilita', giusto?

&l = 10 caratteri: numeri e lettere: 10 cifre + 26 lettere = 36 caratteri combinati su 10 posizioni con ripetizione ovvero coeffieciente binomiale (45 10). Sempre che non prenda abbagli spaventosi con la matematica, controllate anche voi per favore... fan 3 miliardi e poldini di combinazioni.

Riassumendo devo trovare l'id dell'utente (e posso anche crederci che sia facile), ma poi devo beccare un "numero" tra 3 per 10 elevato alla sedicesima?

Sto sbagliando clamorosamente o Anna puo' dormire sonni tranquilli?

Buonanotte a tutti
Angelo

bunglegrind ha detto...

non sbagli...

l'unico modo che potrebbe "funzionare" (per modo di dire) è analizzare quanto "siano casuali" quei numeri, ovvero se non ci sia una certa sequenzialità, oppure siano legati ad una sorta di funzione di hashing.
Ma qui si parla solo dal punto di vista teorico, attacchi del genere sono mooooolto complessi.

Tukler ha detto...

La "l" non è alfanumerica, ma esadecimale.

I possibili valori sono 16^10 (@Barze: perché coefficiente binomiale? perché 45?), ovvero 1.099.511.627.776.

A un ritmo di 10 al secondo, con un computer solo ci si metterebbero 3486 anni.
Se la "l" è veramente necessaria e veramente casuale, allora come sistema è abbastanza sicuro.

Anche se immaginando un attacco di una botnet potrebbe volerci molto meno, ma a quel punto tanto varrebbe spendere quelle risorse per trovare la password, e non certo il parametro "l" di una foto.

the_mic ha detto...
Questo commento è stato eliminato dall'autore.
Barze ha detto...

@Tukler

coefficiente binomiale perche' e' una combinazione con ripetizione di 36 caratteri su 10 posizioni:

http://tinyurl.com/y8q9p39

prendilo con le molle pero' (aspetto conferme anch'io) l'ultimo appello di calcolo combinatorio che ho dato si parlava di quanto i 386 fossero piu' performanti dei 286!

Lady Lillina ha detto...

Sarò una babbea con i fiocchi ma sul profilo di Anna Calarco al di là delle info non vedo nulla.
Siccome il 90% degli utenti (utonti) di Faccialibro sono come me, credo che sia difficile accedere alle info private a meno di non essere un haker.

Barze ha detto...

finisco con perche' 3 miliardi e poldini..

http://tinyurl.com/y9cylmf

P.S. ma prima di internet come si faceva a far di conto?

the_mic ha detto...

@BArze
A me sembrano più disposizioni con ripetizione che combinazioni, a dire la verità.....direi che sui numeri ha ragione Tuckler.

In sostanza ho 10 posizioni, ognuna può essere riempita con 16 oggetti. Li posso ripetere. Quindi ho 16x16x16x16x....x16 =16^10 possibilità di riempirle.

Barze ha detto...

mmmmm ...combinazioni con ripetizione:

http://tinyurl.com/yhp3wt6

"Analogamente, il numero delle possibili colonne del totocalcio, composte da tredici pronostici scelti tra tre (1, X o 2), è pari a: 3 elevato alla 13 = 1.594.323"

nel nostro caso i "simboli" sono le lettere dell'alfabeto (ipotizzo anglosassone) 26 + 10 cifre numeriche = 36 elevato alla decima? O no ancora...quanti dubbi... nessuno che sia un matematico?

Pero' adesso a nanna davvero!
A domani, ma mi sa che Anna vince!

Simone Locci ha detto...

scusate magari mi sbaglio ma io vedendo il link di paolo avevo preso pid=4462817&id=643461254 e avevo pensato l'id relativo all'utente, che quindi viene passato come parametro costante e poi un numero a 7 cifre che viene incrementato da 1000000 a 9999999, che si posizione dopo pid=, ma immagino d'essermi perso qualcosa visti i numeroni che sto leggendo

Paolo Attivissimo ha detto...

Paolo, sei sicuro di avere impostato correttamente le opzioni per quell'immagine?

Sì.

Simone Locci ha detto...

nulla vieta che le prime cifre siano zeri però avremmo al più un numero pari a 9.999.999 link da controllare se esistono (secondo la mia ipotesi)

Barze ha detto...

Ahhh adesso ho capito! (e lo so mento, non sono andato a nanna) E' vero i caratteri non sono tutte le lettere + cifre numeriche ma solo 0,1,2,3,4,5,6,7,8,9,a,b,c,d,e,f (esadecimale - e l'avevate anche detto!) OK giusta la vostra! Ciumba ancora piu' dura beccarla 'sta foto

Tukler ha detto...

@Barze:
per me sono passati "solo" 5 anni, e mi sembra di ricordare che il coefficiente binomiale si usa quando non è importante l'ordine degli elementi, che non è il nostro caso.

Comunque sono sicuro che il numero corretto è 16^10.
16 perché sono caratteri esadecimali e non alfanumerici, alla 10 per lo stesso motivo per cui i numeri da 1 a 10 milioni sono 10^7.

@Lady Lillina:
Non c'entra niente essere utonti o hacker... allora lasciamo la porta di casa aperta, tanto i ladri in giro sono pochi.
Se le impostazioni di privacy di facebook fossero aggirabili in maniera relativamente semplice, sarebbe un fatto molto grave.
Fortunatamente non lo sembrano.

Thomas Morton ha detto...

Mi piacerebbe partecipare alla sfida ma mi servirebbe almeno un account facebook. E comunque mi sento un po' a disagio dopo aver visto quell'immagine, si sappia.

kappe ha detto...

Non so dove stanno andando a impelagarsi gli altri ma io sono d'accordo con @Simone Locci, il link è quello che ha detto lui, il bello è che se l'url non esiste ti da un errore di pagina non trovata, altrimenti ti chiede il login a FB, il mio scriptino sta girando, vediamo cosa viene fuori...

stay tuned ;) Kappe

the_mic ha detto...

kappe, per curiosità: quanti tentativi riesce a fare il tuo script al secondo (più o meno, ovviamente)?

Tukler ha detto...

@Paolo:
Non capisco perché, ma a me si comporta in maniera diversa.

Se carico una foto in un account senza foto seguendo le tue istruzioni (e quelle di f-secure), mi viene creato automaticamente un album "foto bacheca" visibile a tutti, al cui interno c'è una foto visibile "solo a me".

Se provo ad accedere da un altro account alla foto non la vedo, se provo ad accedere all'album lo vedo, ma vuoto.
Se imposto anche l'album come visibile "solo a me", non vedo più neanche quello.

Con i tuoi invece riesco a vedere sia la foto sia l'album con dentro la foto.

Ovviamente parlo sempre di vedere le cose senza parametro "l", con quello ovviamente chiunque può vedere qualsiasi cosa, ma temo che loro la considerino una feature, non un bug.

Tukler ha detto...

@kappe:
Quello che dici tu è verissimo ed è sicuramente da considerarsi un bug, perché consente di vedere se l'id di una foto è potenzialmente corretto anche da sloggati.
Comunque ti accorgerai che anche avendo quell'id, se non hai le autorizzazioni ti serve comunque la "l".

@the_mic:
Io ho fatto qualche prova e riuscivo a farne solo 2 o 3 al secondo, ma ero dentro una macchina virtuale e c'è un altro computer in rete che usa la connessione. Considerando che magari in condizioni ideali potrei riuscirne a fare 10 al secondo, valgono i nostri calcoli di cui sopra;)

bunglegrind ha detto...

non vedo perché accanirsi sui conti, in entrambi i casi le possibili sequenze sono troppe. Non si può fare in quel modo.

Cmq l'album ID non è casuale ma è sequenziale in modo assoluto...ovvero aumenta ad ogni album aggiunto su facebook. Ergo, se si sa approssivamente la data in cui è stato creato è "facile" trovarlo

bunglegrind ha detto...

ma il terzo numero non serve...

oddio spero di non essermi perso nulla, perché avete scritto un sacco di roba.

Vediamo se ho capito:
nel link dell'album da dare agli altri si trovano 3 numeri:
aid: id dell'album/sequenziale
id: id utente/univoco (sequenziale?non importa)
l: id pseudocasuale che serve SOLO per chi non è loggato su facebook.

Secondo me, conoscendo per altre vie id utente, e avendo qualche indizio su quando è stato creato l'album, si arriva in poco tempo all'url.

Ho detto qualche vaccata?

kappe ha detto...

@the_mic: Il metodo che sto usando è "un po" rozzo e mi fa max 2-3 controlli al secondo, ma sono davvero 5 righe di codice, magari lavorandoci su più di 5 minuti ^^ ...

@tukler: Se la foto di Paolo Attivissimo è impostata bene se vai all'url http://www.facebook.com/photo.php?pid=4462817&id=643461254 (che non ha nessuna l) vedi la foto se sei loggato altrimenti la pagina di richiesta di login... non ti torna?

p.s il brute force MOOOLTO brute che sto usando ha complessità temporale troppo alta, non può andare a buon fine almeno in tempi ragionevoli, però con un po' di impegno sono convinto che analizzare 2 o 3 milioni di pagine (range di dove si DOVREBBE trovare l'id della foto) sia fattibile.

kappe ha detto...

@bunglegrind:

semplicemente la url della foto è composta da:
url generico: http://www.facebook.com/photo.php?
photo id: pid=4462817
user id: &id=643461254

non vedo altro di necessario, in teoria scansionando tutti i 9.999.999 possibili url è CERTO di trovare quello giusto, in pratica non basta fare uno scriptino che lo faccia perchè alla mia velocità attuale ci vogliono circa 115 giorni (ma anche se fosse 1/2 o 1/3 sarebbe ugualmente inaccettabile) dovrei:
1) parallelizzare
2) analizzare più approfonditamente il contenuto della risposta invece di prendermi tutto

cosa che non penso valga la pena ^^ almeno per ora, anche se mi avete messo la pulce nell'orecchio :)

bunglegrind ha detto...

aspetta io mi stavo riferendo all'id di un album intero. Mi sembra più facile anche perché, se sai approssimamente quando è stato pubblicato, puoi limitare la ricerca ad un numero molto minore di numeri.

Simone Locci ha detto...

quindi se uno di noi dovesse pubblicare un album abbiamo la certezza che l'album di anna si trovi in un numero compreso tra quello di paolo e l'album appena creato?

kappe ha detto...

@simone: non è detto, potrebbe aver creato la foto mesi fa.
Poi ho notato che le foto della bacheca (se non erro) hanno pid da 6 cifre e non 7, quindi la cosa si complica ^^

Adesso sto facendo una scansione ristretta sull'account di Paolo (scusa :) ) per dimostrare il concetto, se lo script becca la sua foto condivisa è già un passo.

p.s per adesso nessuno ha nominato script o siti già esistenti, ma non sono sicuro che non ci siano.

bunglegrind ha detto...

fai conto che l'id della foto della bacheca potrebbe essere stato creato quando paolo ha creato l'account, ecco perché ha una cifra in meno

(ad esempio il mio id utente ha una cifra in meno di quello di tutti i miei amici visto che mi sono iscritto un anno e mezzo prima di loro)

Simone Locci ha detto...

ottima scelta quella di testare lo script su una restrizione, non ci avevo pensato all'idea di creare l'album e aggiungere foto in un secondo momento (se è questo che intendevi).

Tukler ha detto...

@bunglegrind:
Cmq l'album ID non è casuale ma è sequenziale in modo assoluto...ovvero aumenta ad ogni album aggiunto su facebook. Ergo, se si sa approssivamente la data in cui è stato creato è "facile" trovarlo
No, non è sequenziale. Come dicevo, un mio album ha id 3010, e l'ho creato un paio di settimane fa. L'album di Paolo ha id 178563. Un altro album che ho creato come prova poco fa ha id 1375.

l: id pseudocasuale che serve SOLO per chi non è loggato su facebook.

No, a quanto ho capito la l serve sempre per vedere il contenuto senza averne i diritti.
Ovvero, se non si è loggati su facebook, se il contenuto è visibile solo agli amici e non lo si è, o se il contenuto e visibile solo all'utente stesso.

@kappe:
Se la foto di Paolo Attivissimo è impostata bene se vai all'url http://www.facebook.com/photo.php?pid=4462817&id=643461254 (che non ha nessuna l) vedi la foto se sei loggato altrimenti la pagina di richiesta di login... non ti torna?

Si si mi torna, ed è sicuramente qualcosa che permette di trovare il pid e si può sicuramente considerare un bug.
Però come dicevo, con quell'url da loggato accedi alla foto di Paolo, ma con me senza l non funziona.

Per farti provare, questi sono gli url di una foto e del suo album in un mio account fittizio, entrambi impostati visibili "solo a me".

Con le l, riesci ad accederci anche da sloggato, ma se togli le l non riesci ad accederci neanche da loggato.

Come dicevo prima, se dovessi impostare l'album come visibile a tutti e la foto come visibile solo a me, andando sull'url dell'album lo vedresti ma vuoto.

Luca ha detto...

http://privacystalker.blogspot.com/2009/09/video-como-ver-albumes-privados-en.html
può aiutare?

Tukler ha detto...

@kappe:
Io ne ho trovati 2 di programmi (web auditing) che fanno al caso nostro, ma le prestazioni sono più o meno le stesse. Credo che il collo di bottiglia sia la connessione.

Simone Locci ha detto...
Questo commento è stato eliminato dall'autore.
Tukler ha detto...

Quello del video postato da Luca è uno (WebSlayer), l'altro è w3af.
Ma quel video è abbastanza fasullo, visto che mette un range ridottissimo sapendo già qual'è l'id, e soprattutto che l'album non è privato.

kappe ha detto...

@tukler: e allora c'è qualcosa che non torna/afferro come mai il link di paolo funziona anche senza l ma il tuo no? le foto non sono state create nello stesso modo?

Comunque CONFERMO che con la foto di Paolo lo script funziona, ora dovrei "solo" ottimizzarlo ^^

Simone Locci ha detto...

@luca: http://tinyurl.com/ydjqxly qua ne parlano in italiano ma anche dal video non è difficile capirlo

bunglegrind ha detto...

la smania mi ha fatto cantare vittoria troppo presto...però non sono casuali nel senso di uniformi. Ad esempio i miei album sono tutti con numerazione progressiva.
2 novembre 2009 131766
7 dicembre 2009 138906
21 dicembre 2009 141999
11 gennaio 2010 147704
oggi 151543

kappe ha detto...

@Luca: quello è esattamente quello che ho fatto io con il mio script, ma come dice tukler non vuol dire molto dato che ha messo un range ridicolo, i nostri problemi sono prestazionali e anche eliminando le cose ovvie come richieste dns (inserendo direttamente 69.63.187.11) e salvataggi in memoria secondaria, uso dei thread ecc sarebbe sempre un bel malloppo di roba da far girare per un tempo non di pochi secondi.

Anna ha detto...

Visto che la caccia continua... vi dò un aiutino extra...il mio ID!

id=742227673
notte!
Anna

kappe ha detto...

@Anna: hahahahaha ma non vale!! io stavo martellando questo:
http://www.facebook.com/profile.php?id=1413933429
HAI DETTO QUELLO CON 2 MORE E LI CI SONO! :D

Simone Locci ha detto...

@anna: se vabbè XDDD ora devo restartare un'altra volta :D

bunglegrind ha detto...
Questo commento è stato eliminato dall'autore.
bunglegrind ha detto...

Per quanto riguarda i miei album id, sono quasi convinto che aumentino sequenzialmente (+1) di minuto in minuto...
@tuckler: da quanto tempo sei iscritto a facebook? Però il tuo scende come numero...vabbè, buonanotte a tutti ;-)

Simone Locci ha detto...

@bungle & anna: notte:)

Simone Locci ha detto...

@kappe: sto usando WebSlayer, ho messo la parte con aid che va da 100000 a 500000, se tu o qualcun'altro volete fare la parte superiore dividendoci così il lavoro si fa sicuramente prima, sempre se sto WebSlayer non si impalla:)

Gabriele ha detto...
Questo commento è stato eliminato dall'autore.
Tukler ha detto...

@kappe:
e allora c'è qualcosa che non torna/afferro come mai il link di paolo funziona anche senza l ma il tuo no?
Non ne ho idea, è quello che sto cercando di capire.

le foto non sono state create nello stesso modo?
Io ho seguito le istruzioni di F-Secure: foto creata da "allega foto" nella bacheca, "carica una foto", lucchetto, personalizza, "solo io".


@bunglegrind:
da quanto tempo sei iscritto a facebook? Però il tuo scende come numero...
No no, i due album sono di due account diversi. Il primo album, 3010, è stato creato un paio di mese fa ed è di un account creato da meno di un mese.

Il secondo album, 1375, e il relativo account li ho fatti come prova oggi (ieri ormai) stesso.

Comunque concordo sul fatto che i numeri sembrano crescenti all'interno dello stesso account, ma questo non aiuta a cercare pid o aid a priori.

@Anna:
Visto che la caccia continua... vi dò un aiutino extra...il mio ID!
Beh molto probabilmente hai disattivato la visibilità nella ricerca, perché cercando il tuo nome non risultavi. Buon accorgimento dal punto di vista della privacy, ma senza il tuo aiuto nessuno di noi avrebbe potuto trovarti.
Comunque fossi in te chiederei a Paolo di rimuovere il tuo nome una volta che è finito tutto.

Gabriele ha detto:
per il momento ho trovato solo un album tuo (Compleanno Devid)
Quelle tre foto le ho viste anch'io, Anna se potessi confermarci che quell'album e quelle foto sono impostate come "visibili a tutti" mentre tutte le altre no sarebbe interessante.


@Simone Locci:
sto usando WebSlayer, ho messo la parte con aid che va da 100000 a 500000

Fossi in te partirei da 1000, tanto non sarà certo quello ad aumentare l'ordine di grandezza dei numeri da provare.
E soprattutto cercherei il pid, partendo da quelli delle foto visibili.

se tu o qualcun'altro volete fare la parte superiore dividendoci così il lavoro si fa sicuramente

Perdonami ma credo che servirebbe a trovare il pid della foto ma comunque non a vederla, non senza la l.

Tukler ha detto...

Errata Corrige:
No no, i due album sono di due account diversi. Il primo album, 3010, è stato creato un paio di settimane fa ed è di un account creato da meno di un mese.

Buonanotte;)

Tukler ha detto...

@Anna:
il PID della foto è per caso 3034657?

Anonimo ha detto...

Non è più sensato cercare la foto sul server di hosting delle foto?
Se notate il formato di quell'url è tipo:
http://photos-e.ak.fbcdn.net/hphotos-ak-ash2/hs268.ash2/NUMERO1_NUMERO2_ID_PID_NUMERO3_(s|n).jpg
dove s o n indicano la dimensione della foto (in ordine crescente).
ashX e hsX sembrano poter variare senza nessun problema, suppongo indichino solo il server nel cluster.
NUMERO1, nei miei esperimenti, è di 5 cifre (se qualcuno conferma, viene comodo :)).
NUMERO2 invece è composto da 13 cifre.
ID e PID sono l'id dell'utente e l'id della foto, rispettivamente.
NUMERO3 sembra esser lungo 7 cifre.

Anonimo ha detto...

Non ho trovato la foto protetta da Anna, ma nonostante il suo account sia visibile solo dagli amici (credo), questa sono riuscita a beccarla, senza brute force ovviamente.
http://tinyurl.com/yjqgtac
da qui
http://tinyurl.com/yaoer9s
Sicuramente sono accessibili tutte le foto non protette a prescindere dal fatto che l'account sia visibile solo agli amici, ora bisogna trovare il modo per vedere anche quelle protette

Anonimo ha detto...

nonostante l'account di Anna sia visibile solo agli amici, è possibile visualizzare questa:
http://tinyurl.com/yjqgtac
da qui
http://tinyurl.com/yaoer9s
Credo che Anna abbia reso il proprio account visibile ai soli amici, ma l'impostazione su questa foto o sull'album sia visibile a tutti. Lo confermi? Se questo è vero tutte le foto non protette sono accessibili da chiunque senza ereditare la protezione dell'account come sarebbe ragionevole. Ovviamente rimane da capire come accedere a quelle private.

Anonimo ha detto...

OT chiedo scusa Paolo, ma non posso elimiare uno dei due commenti precedenti. Credevo che il primo fosse andato perduto e l'ho riscritto :(

bunglegrind ha detto...

@tukler:
bene!
allora l'aid è un numero progressivo ed indica il minuto in cui hai creato l'album partendo dall'istante in cui ti sei iscritto. A me sembra proprio così...

E restringe di molto il campo se la ricerca non è fatta su uno sconosciuto, tutto protetto.

Poi c'è la faccenda del terzo numero, che se hanno avuto un pizzico di buon senso è un numero pseudocasuale, e non una funzione di hashing degli altri 2 numeri più i permessi...

Anna ha detto...

La foto è quella dell'unico album in cui come privacy possono vederlo Tutti (oltre quindi agli amici). Paolo fammi sapere se volete che pubblichi il link della foto. Ciao

Paolo Attivissimo ha detto...

Paolo fammi sapere se volete che pubblichi il link della foto. Ciao

No, assolutamente: la caccia è troppo interessante.

Piuttosto, assicurati che nel tuo account non ci siano altre foto che non vorresti fossero rese pubbliche. Se ce ne sono, creo un account fittizio su FB e facciamo gli esperimenti lì.

Se ci concedi di proseguire, ovviamente, l'esperimento è molto più significativo perché riguarda una situazione reale anziché una costruita in laboratorio, ma lascio a te. Grazie, intanto, per esserti prestata fin qui!

Emmevvi ha detto...
Questo commento è stato eliminato dall'autore.
Anna ha detto...

Ok proseguiamo pure.
Ciao
Anna

Anonimo ha detto...

@Anna commento 146
si ma la cosa non è banale visto che il tuo account è totalmente protetto e io non sono tuo amico: non avrei dovuto individuare quell'album!
Spiego per tutti, magari può servire d'aiuto: esiste un hack noto da tempo anche se non diffusissimo che permette di usare i commenti scritti sulle fotografie per individuare gli album pubblici di account protetti.
Tutto questo si ottiene usando l'url http://facebook.com/photo_comments.php?id=xxxxx e sostituendo xxxxx con l'id dell'utente.
Stessa cosa si può fare con i video usando l'url http://facebook.com/video/?id=xxxxx

ǚşå÷₣ŗẻễ ha detto...

Devo ricredermi.

Prendiamo due dati di fatto

- la caccia è in atto ormai da quasi 18 ore

- è vero che in questo thread non ci sono tutti gli hacker del mondo, ma c'è comunque un buon numero di persone in grado di scrivere uno script per scovare la foto

Sino ad ora la foto non è stata scovata, e anzi qualcuno ha anche toppato clamorosamente :D

Ergo: le foto private di Facebook sono ragionevolmente sicure.

Simone Locci ha detto...

@kappe: comunque la complessita è altissima purtroppo, la foto di Paolo se non sbaglio si apre anche senza "l" mentre se provi quella di Tukler non si apre senza &l corretto, tra l'altro ogni "variabile" inserita nel pid non rivela se la pagina sia esistente o no perchè facebook risponde comunque "Impossibile visualizzare la pagina richiesta al momento. La pagina potrebbe essere temporaneamente non disponibile, il link su cui hai cliccato potrebbe essere scaduto o potresti non disporre dell'autorizzazione a visualizzare questa pagina." quindi non si sa se manchi solo l o se sia l'aid sbagliato o qualcos'altro...
tra l'altro stanotte m'è crashato WebSlayer, ma non sarebbe comunque servito a nulla per gli album protetti...

Tukler ha detto...

@Stefano:
Non è più sensato cercare la foto sul server di hosting delle foto?

Beh non proprio, quell'url semrba comportarsi in maniera un po' strana... se prendi due url di due foto diverse con PID consecutivo, noterai che le uniche cose a cambiare sono quello che tu chiami NUMERO2 (che varia di poco, ma non si capisce bene come), il PID e il NUMERO3.
Se provi a modificarli un po', noterai che anche se modifichi il PID vedrai sempre la stessa foto, e lo stesso se modifichi alcune cifre del NUMERO2, ma non alre.
Il NUMERO3 invece sembra quello che comanda, un codice di sicurezza che se sbagliato impedisce di vedere la foto, e varia completamente al variare del PID.

Quindi per vedere la foto una foto dato il suo PID dovresti indovinare il NUMERO2 e il NUMERO3, o almeno capire la logica secondo la quale il NUMERO2 varia al variare del PID (e avendo noto quello di una foto con PID vicino).

Io la vedo come ancora più complicata che indovinare la l...

Tukler ha detto...

@bunglegrind:
allora l'aid è un numero progressivo ed indica il minuto in cui hai creato l'album partendo dall'istante in cui ti sei iscritto. A me sembra proprio così...

Di sicuro è crescente a parità di utente, ma non credo proprio che indichi il minuto. Se così fosse, tu album creati nello stesso minuto avrebbero lo stesso AID.
Inoltre, ho appena creato un nuovo album nell'account in cui circa 12 ore fa avevo creato quello con aid 1375, e il nuovo ha aid 1434.
Troppo poca variazione per contare i minuti o i secondi, probabilmente la logica è un'altra.
E non ho fatto nessun'altra operazione tra un album e l'altro, quindi non è neanche un counter condiviso con qualcos'altro di mio.

Sarebbe interessante anche sapere se due aid o pid di due persone diverse possono coincedere.

E restringe di molto il campo se la ricerca non è fatta su uno sconosciuto, tutto protetto.

Questo comunque si, dato un pid o un aid di una persona, gli altri non sembrano poter essere troppo lontani da quello.

Poi c'è la faccenda del terzo numero, che se hanno avuto un pizzico di buon senso è un numero pseudocasuale, e non una funzione di hashing degli altri 2 numeri più i permessi...

Mah, a me quel numero esadecimale puzza tanto di hash. Di sicuro non è funzione dei permessi, perché cambiandoli non cambia la l.
Inoltre, anche a logica anch'io userei un hash, in modo da poter controllare al volo se la l è corretta a partire da pid e id, senza dover avere nel database una l per ciascun pid.

Tukler ha detto...

@Anna:
La foto è quella dell'unico album in cui come privacy possono vederlo Tutti (oltre quindi agli amici).

Quindi la foto è nell'album "Compleanno di Devid", dove ci sono le altre 3 di cui ha postato il link anche potacchione?
Quell'album e le altre 3 foto sono visibili a tutti?
La foto non visibile ha pid 3034657?

Tukler ha detto...

@Simone Locci:
quindi non si sa se manchi solo l o se sia l'aid sbagliato o qualcos'altro...

No no, il modo c'è. Come ha fatto notare kappe, se provi ad accedere un aid o pid sbagliato da sloggato ti restituisce una pagina di errore, ma se provi ad accederne uno corretto ti chiede il login.

Marco ha detto...

visto che è passato quasi un giorno di accanita caccia fatta da smanettoni niente male, possiamo dire che la privacy di una foto "normale" è più che garantita. In caso di segreti militari o di Crimini e Misfatti, la faccenda è ovviamente diversa, ma lì vale il principio del non-mettere-nulla-di-tracciabile-sul-web. Per me, qualsiasi cosa accada da ora in poi (non si può andare avanti in eterno, in nessuna gara...) ha "vinto" Anna.

Innominato ha detto...

Attivissimo ha perso questa volta, questo essere contro corrente a tutti i costi questa volta...

Tharon ha detto...

"Perso" non direi. Chi si mette in gioco per scoprire se quello che pensa è corretto o meno può solo vincere, mai perdere. Qualsiasi esito abbia la sfida.

Marco ha detto...

OVVIAMENTE il mio concetto di "vinto" e "perso" era molto ironico. Metterò una serie di faccine adesso:
:-) :-) ;-)
Però il senso del discorso è che, via, Facebook non è quel mostro o quello spione a tutti i costi. Perchè cercare una foto, come sto vedendo, costa tempo e ingegno, e quindi, non ne vale la pena, a meno che non sia proprio così maledettamente importante.
Diciamo che, come ho scritto prima, la privacy delle foto private (scusate il gioco di parole) su FB mi pare abbastanza garantita, sufficiente, ecco.

Paolo Attivissimo ha detto...

Per me, qualsiasi cosa accada da ora in poi (non si può andare avanti in eterno, in nessuna gara...) ha "vinto" Anna

Non paragonare dei tentativi improvvisati, fatti per diletto, rispettosi del "bersaglio", con un attacco mirato, motivato e spietato.

Anna ha detto...

l'album dove compare la foto da cercare si chiama "Me e Pollon" ed è l'unico album visibile solo da me. Ciao
Anna

kappe ha detto...

Rieccomi, scusate la defezione ma il sabato mattina è dedicato a morfeo ;)
Vedo che la cosa sta languendo, però devo dire che noi ci siamo concentrati solo su alcuni aspetti del problema conoscendo anche poco il funzionamento interno di facebook, penso che qualcuno davvero determinato possa riuscire nel tentativo, solamente il "bug" di cui mi sono accorto io non dovrebbe esistere.

kappe ha detto...

Non paragonare dei tentativi improvvisati, fatti per diletto, rispettosi del "bersaglio", con un attacco mirato, motivato e spietato.

ecco... mi hai levato le parole di bocca ^^

Tukler ha detto...

@Marco:
visto che è passato quasi un giorno di accanita caccia fatta da smanettoni niente male

A parte che qua siamo più o meno tutti principianti nel campo e che io finora c'ho perso non più di due ore, un giorno non è mica tanto per un attacco serio...
Fermo restando che anche secondo me "ha vinto facebook", a meno che non si riesca a capire la logica di quella l.

A proposito di "l", a quanto pare fino a marzo scorso era lunga 5 caratteri esadecimali, ora 10.
Ma il bello è che, a parità di foto, i primi 5 caratteri delle nuove "l" lunghe 10 corrispondono ai 5 caratteri delle vecchie "l".
Ovvero, non sono state ricalcolate ma prolungate.
Questo rafforza la mia convinzione che si tratti delle prime tot cifre di un hash di qualcosa.

Tukler ha detto...

C'è un album con aid 126324.

Anonimo ha detto...

@Paolo Attivissimo
un attacco mirato ha un bersaglio ben preciso, ça va sans dire. la questione è un'altra: se un utente medio (medio-alto o medio-basso) possa essere in grado, volontariamente, di accedere a dati "privati" sulla piattaforma FB, magari dall'esterno del (a)social network. Mi pare ovvio, perlomeno fino a questo punto, che questa cosa non sia possibile. E c'è chi si è davvero dato da fare, mi sembra di capire dai commenti. E gli indizi di Anna sono stati molteplici. La cosa davvero interessante da capire, a mio modesto parere, non è tanto la capacità o meno di bucare la privacy (sebbene sia una questione delicatissima), quanto piuttosto l'uso che viene fatto dei files - in questo caso, fotografie - dopo che un utente li rimuove, o, caso estremo, dopo che un utente cancella il suo profilo da facebook. Se la persistenza di queste informazioni, e la loro accessibilità da parte di terzi (leggi: potenzialmente chiunque), è davvero un fatto reale e documentabile, allora c'è da preoccuparsi.

ǚşå÷₣ŗẻễ ha detto...

D'accordo , se sguinzaglio una squadra di hacker iperpreparati è probabile che sgamino la foto in un tempo ragionevole.

Ma ripeto, la modalità privata è ragionevolmente sicura per l'uso comune che si dovrebbe fare di Facebook.

Tutt'al più la critica che rimane in piedi è che Facebook non dovrebbe A PRESCINDERE generare un link pubblico per una foto privata :D

Thomas ha detto...

18 ore sono nulla!! signori!! La prima qualità di un vero hacker è la pazienza, i fallimenti servono solo ad imparare .

Alle statistiche rispondo con Murphy, se la foto si può vedere prima o poi si vedrà ..

confido in voi , nei vostri processori e nella vostra connessione

Tukler ha detto...

@usa-free:
D'accordo , se sguinzaglio una squadra di hacker iperpreparati è probabile che sgamino la foto in un tempo ragionevole.

No, un attimo, qua non si parla di accedere una foto... si parla di trovare il modo per accedere a una foto (ovvero ricavare la "l"), e se lo si trovasse allora sarebbe possibile per qualunque "script kiddie" accedere a qualunque foto.

P.S: comunque trovati altri tre album: 131361, 131399, 134686. Ma tanto senza l non servono a niente:)

Tukler ha detto...

Ammazza quanti album però!;)
114979, 116553, 117736, 118683, 138741, 139527...

Comunque, la l non è funzione dell'aid, perché se si sposta una foto da un album all'altro rimane la stessa.

Non è neanche funzione solo della foto (che per me non sarebbe stata una cattiva idea), perché due foto identiche con pid diverso hanno l diversa.

Sioropa ha detto...

(spero che nessuno di quelli che ha detto "pfui, ci riesco in 20 minuti" faccia attività di questo tipo per lavoro :) )
Mi son letto, più o meno, tutto e mi sembra di capire che una foto visibile "solo a me" invece sia teoricamente visibile da tutti (e quindi FB ha mentito). Ma in pratica nessuno è ancora riuscito (...e questo non è un blog sull'uncinetto) a visualizzare la foto di Anna.
Anzi: Anna stessa ha dovuto dare il proprio ID, che doveva essere l'informazione più semplice da recuperare!!
È molto probabile che con "un attacco mirato, motivato e spietato" si possa riuscire nell'intento ma, cavolo, stiamo parlando di facebook! La NSA che si mette a cercare le foto delle vacanze di mio papà non mi sembra sia uno scenario realistico.
Ok la linea "teorica", ma non mi viene in mente nessun caso in cui un attacco di questo tipo possa avere una motivazione plausibile.

the_mic ha detto...

In generale io direi che la l potrebbe essere un hash non solo di pid e id ma anche di qualche dato dell'utente (password, per esempio, o hash della password). In questo modo non dovrei preoccuparmi di tenere segreto l'algoritmo di hashing....e ovviamente in questo modo un attacco analitico diventa ancora più complesso...

Ritornando al discorso della privacy: il fatto è che a quanto mi sembra di capire (ma potrei sbagliarmi) se per un motivo qualunque qualcuno entra in possesso del link (perchè ha sbirciato da sopra la spalla mentre caricavo la foto o per qualunque altro motivo) NON c'E' MODO di bloccare l'accesso, anche se il link pubblico non l'ho effettivamente inviato a nessuno. E' questo che secondo me è grave (o, almeno, è una falla rilevante).

Tukler ha detto...

@Sioropa:
(spero che nessuno di quelli che ha detto "pfui, ci riesco in 20 minuti")

Non mi pare che nessuno abbia detto di riuscirci in 20 minuti... e comunque la nostra speranza di successo era dovuta al fatto che la foto di paolo è accessibile anche senza la "l", mentre invece per le foto private di solito la l è richiesta, sia per le prove che ho fatto io, sia per gli album trovati di Anna.

Mi son letto, più o meno, tutto e mi sembra di capire che una foto visibile "solo a me" invece sia teoricamente visibile da tutti (e quindi FB ha mentito).

Beh, per come la vedono loro, è visibile solo da te a meno che tu non comunichi a qualcuno il link con la chiave speciale che loro ti comunicano.

Anzi: Anna stessa ha dovuto dare il proprio ID, che doveva essere l'informazione più semplice da recuperare!!

Dal momento che non compare nelle ricerche, era impossibile da recuperare (forza bruta?).


Comunque, io ho un amico che ha un amica che si chiama Anna Calarco (a proposito di gradi di separazione)... peccato che non sia quella giusta:P

Anna ha detto...

Ciao Paolo,
se volete lascio ancora la foto in privato visibile solo a me.
Comunque è stato un piacere condividere questo test assieme a tutti i lettori del Disinformatico.
Come premio Paolo mi saluteresti in trasmissione??? :)
Grazie
Ciao
Anna

Tukler ha detto...

@the_mic:
In generale io direi che la l potrebbe essere un hash non solo di pid e id ma anche di qualche dato dell'utente (password, per esempio, o hash della password).

Cambiando la password, le "l" di foto e album non cambiano.


Comunque, stavo guardando la documentazione delle applicazioni per facebook... per autenticare le richieste, spesso chiedono un parametro "sig" che è l'hash md5 della richiesta completa concatenata alla chiave segreta dell'applicazione.
Quest'ultima è un esadecimale di 32 cifre.

Se usassero qualcosa del genere con una loro chiave anche per generare la "l", allora sarebbe praticamente inattaccabile (16^32 tentativi?;)).

Anonimo ha detto...

Non concordo molto con te, più passa il tempo e più infarcisci le notizie con tue considerazioni personali, come ora su Fb che vuoi mostrarne l'uso fraudolento, quando invece è un fatto tecnico anche questa cosa che segnali perchè in effetti quella foto non è rintracciabile pur di non conoscere l'esatto link http://www.facebook.com/photo.php?pid=4462817&l=f4663c64e2&id=643461254 (che senso ha mettere una foto che posso guardare solo io? metto 1 foto che guardo solo io ed uso il link per darlo a chi voglio anzichè mandarla via email, se uno vuol usare Fb in questo modo che male c'è?)

Poi è piuttosto improbabile che uno sgami casualmente tutti quei numeri sul link, sarebbe molto più serio se si potesse mostrare che ad esempio google riesce a visualizzare una foto privata particolare (non quella usata perchè i robot se lo son già macinato quell'indirizzo) e su questa cosa allora potresti sbilanciarti come ora

Tukler ha detto...

@Anna:
se volete lascio ancora la foto in privato visibile solo a me.

Tanto anche se fosse visibile solo ai tuoi amici l'effetto sarebbe lo stesso, senza la "l" ci sbattiamo solo la testa:P

A meno che poi non venga fuori qualche tuo amico a dire "l'ho trovataaa" e passare per eroe;)

Anonimo ha detto...
Questo commento è stato eliminato da un amministratore del blog.
Anonimo ha detto...

@Tukler

Sinceramente non vedo perchè la "l" debba essere un valore calcolato e non casuale.
Potrebbe benissimo essere un valore casuale generato quando si carica la foto e che poi viene usato come "chiave" per permettere la visione della foto.
Quantomeno sarebbe il sistema più sicuro/sensato.

Replicante Cattivo ha detto...

Scusate, forse dico una cretinata, però penso che l'interessante esperimento a cui Anna si è gentilmente sottoposta, sia quantomeno viziato da un eccessiva "specificità" della richiesta.

Si sta chiedendo di trovare una foto specifica, di un utente specifico con il quale -almeno credo nessuno- di noi abbia legami di parentela, amicizia (reale o virtuale), o amicizia "al quadrato" e quindi difficilmente raggiungibile tramite commenti ai post, tag selvaggi ecc...

Forse non riusciremo mai a trovare QUELLA foto, però magari ognuno di noi può lo stesso essere in grado di spulciare le foto private di una persona, anche solo involontariamente. O comunque potrebbe avere più possibilità, se si allargasse il campo della ricerca a qualsiasi foto e la si indirizzasse verso persone di più vicine a noi (amici, parenti, conoscenti, colleghi).
Del resto il problema della privacy aumenta con la 'vicinanza' delle persone da cui si vuole proteggerla: la gente teme molto di più che le proprie foto compromettenti vengano viste dai parenti o dal capufficio, piuttosto che da un ragazzo sconosciuto che abita a migliaia di km di distanza.
Inoltre si sta partendo dal presupposto che uno debba recupeare la foto partendo dal link che la identifica. Perchè invece non ci rifacciamo alle parole di Fred84?
se puo' essere visto, puo' essere scaricato ricordandosi che, nel momento in cui pubblichiamo una foto, questa rimane sia sul server che sull'hard disk che l'ha appena visualizzata.

Esempio stupido e magari sbagliato: ma nessuno ha mai pensato ai file temporanei?
Magari l'impostazione della privacy delle foto è settata al massimo, ma ci si dimentica che nel momento in cui si guarda una foto dal pc di un amico/fratello, piuttosto che quello della scuola, chiunque può mettere mano ai file temporanei e -se privo di scrupoli- diffondere o pubblicare le foto che vengono ritrovate.
Potrebbe essere l'amministratore della sala computer di una scuola, il quale, ogni volta che vede una bella ragazza usare un pc, va a controllare i file temporanei nell'eventualità che lei sia andata leggere i commenti pubblicati sulle sue foto in costume da bagno.
Oppure potrebbe trattarsi del tecnico a cui Anna ha dovuto portare di corsa il pc perche le si è fusa la ventola...e che questo tecnico abbia deciso di farsi un giro sull'account di Anna utilizzando la password memorizzata da Firefox.

In entrambi i casi, nessuno dei due voyeur saprebbe di aver appena visualizzato delle foto private, magari non si è salvato "a spasso con la Witty" perchè non l'ha ritenuta interessante, però intanto ha visto altre foto che teoricamente non doveva guardare nessun altro oltre il proprietario.

ubik15 ha detto...

Perdonate l'OT, ma questa notizia merita di essere letta per 2 motivi:

1. si parla male di IE6;
2. si parla di IE6 come di un "sistema operativo".

Wow.

Yari Davoglio ha detto...

Ho richiesto l'amicizia ad Anna, lei ha accettato, ho visto ogni sua foto e non c'è nulla di privato, quindi, la foto che lei ha impostato come privata può vederla solo lei. Ripeto: forse un hacker e sicuramente admin e mods di FaceBook, ma un utente e degli esterni a FB no.

Paolo Attivissimo ha detto...

non mi viene in mente nessun caso in cui un attacco di questo tipo possa avere una motivazione plausibile

Non sottovalutare la determinazione di un'amante tradita o di un governo che voglia ricattare un politico o un industriale del paese avversario.

O quella di 4chan.

Paolo Attivissimo ha detto...

Come premio Paolo mi saluteresti in trasmissione??? :)

OK!

Francesco81 ha detto...

Salve a tutti!

Gioco davvero divertente!

Allora, partendo dal presupposto che sappiamo il numero di codice di profilo di Anna (742227673) quello che ci manca di conoscere è il codice dell'album.

L'identificativo per tutti gli album di facebook è: http:/www.facebook.com/album.php?aid=xxxxx&id=742227673

Il problema è quel numero. E' crescente, questo è chiaro. Sul mio profilo ho creato due album in rapida successione. Uno ha questo identificativo: 2054691, l'altro 2054695.

Questo significa, considerando che l'album immesso da Anna è di ieri, che quel numero deve essere compreso tra 2050000 e 2054691. Il problema è provarli tutti. Con un programmino ad hoc di cui non dispongo dovrebbe essere un gioco da ragazzi ricavare il codice corretto.

P.S.: Nella ricerca facebook il profilo di Anna non si trova. Bisogna inserire il suo codice ID da lei fornito e le due more appiano magicamente.

Tukler ha detto...

@Stefano:
Sinceramente non vedo perchè la "l" debba essere un valore calcolato e non casuale.
Potrebbe benissimo essere un valore casuale generato quando si carica la foto e che poi viene usato come "chiave" per permettere la visione della foto.
Quantomeno sarebbe il sistema più sicuro/sensato.


E' solo una supposizione, dettata dalle seguenti considerazioni:
- E' esadecimale, quindi lascerebbe pensare ad un hash.
- Quando si è passati dalle vecchie l a 5 caratteri alle nuove l a 10 caratteri, la prima parte è rimasta invariata, come se appunto fossero i primi tot caratteri di un qualcosa (hash?). Fossero state casuali, mi sarei aspettato che venissero tutte rigenerate.
- Per loro potrebbe essere molto più rapido se fosse un hash, perché per tirare fuori una foto non dovrebbero neanche guardare nel database (e memorizzare tutte le "l" nel database), ma potrebbero verificare la correttezza dell'url e calcolare il nome del'immagine sui loro server solo in funzione di pid e id utente.
- Loro sono soliti usare hash di parametri di richiesta + un codice segreto per autenticare le richieste delle applicazioni.

Tukler ha detto...

@Francesco81:
Allora, partendo dal presupposto che sappiamo il numero di codice di profilo di Anna (742227673) quello che ci manca di conoscere è il codice dell'album.

Se segui i commenti, di codici di album ne ho trovato diversi (una decina prima di fermarmi). Il problema è che per accederci senza autorizzazioni non bastano, ci vuole la "l" corretta.
E' quella che è difficile da ricavare;)

Anna ha detto...

Non ho accettato nessuna amicizia a cui fa riferimento Yari, avrai sbagliato Anna, poi se dici di vederle, allora metti il link....

Francesco81 ha detto...

Anna visto che sei on-line mi potresti solo rispondere con un si o un no? Il codice dell'album è compreso tra quelle cifre che ho inserito?

Simone Locci ha detto...

una l di 10 caratteri esadecimali dovrebbero essere 10^16 possibilità o sbaglio? quindi per ogni album ci vogliono tutti quei tentativi... elaborandone 3 al secondo in un giorno se ne provano solo 259200, facendo 10^16/269200 mi viene fuori che servirebbero 3*10^8 giorni uahuahau bisogna per forza trovare il metodo col quale è calcolato l'hash direi..
anche perchè abbiamo la sfortuna d'avere il 2012 di mezzo... uahauahua

Anna ha detto...

Attenzione io non ho mai detto di averlo creato ieri l'album, e comunque la cifra è sotto i 2000000. Ciao

Francesco81 ha detto...

Ahhhhhhhhhhhhhhh, non avevo capito! Grazie della precisazione!

Roberto ha detto...
Questo commento è stato eliminato dall'autore.
Roberto ha detto...
Questo commento è stato eliminato dall'autore.
Roberto ha detto...

OT

Secondo Corriere.it IE6 è un "sistema operativo"...

Tukler ha detto...

@Francesco81:
Gli aid degli album non sono universalmente crescenti, leggi i post precedenti.

Yari Davoglio ha detto...

Anna,

scusa eh, tu hai scritto "sono quella dove nella foto compaiono 2 ragazze more" e io, cercando i tuoi dati Ottenni e ottengo tutt'ora 8 risultati: eccoli. Vuoi dirmi che tu non sei la Anna Calarco che ho riquadrato di rosso? O_O

Va bene che qui scrivi troppo bene per rientrare della media dei quindicenni, ma io non vedo altre "Anna Calarco con immagine di due ragazze more"...

Tukler ha detto...

@Yari:
No, non è visibile nei risultati di ricerca, ma ha scritto il suo id qualche post fa.

Che poi quelle due ragazze non sono mica more:P

Anna ha detto...

Ciao,
ti pubblicola ricerca dove si vede la mia foto.

http://img63.imageshack.us/img63/3761/annacalarco.jpg

La foto è la prima della lista. Io sono quella di destra.

Ciao Anna

«Meno recenti ‹Vecchi   1 – 200 di 273   Nuovi› Più recenti»