Afgeschermde Facebook foto's toch zichtbaar
Een beveiligingsonderzoeker heeft een manier gevonden om afgeschermde foto's op Facebook toch voor iedereen zichtbaar te maken. Voor zijn demonstratie afgelopen zondag gebruikte Christian Heinrich zonder toestemming het profiel van de vrouw van HackLabs directeur Chris Gatford. Het is bekend dat Heinrich Gatford niet mag iets wat hij ook toegeeft.
Volgens Heinrich doet Gatford zich als beveiligingsexpert voor en is hij daarom verantwoordelijk voor wat hij online plaatst. "Ik heb geen gewetensbezwaar over het publiceren van de foto's, omdat ze zich in het publieke domein bevinden." De onderzoeker wilde aantonen dat niet alles op sociale netwerksites veilig is.
Voor het achterhalen van de foto's had Heinrich twee waarden nodig, het ID van het slachtoffer en X. Deze waarde liet de onderzoeker via een computer berekenen. Na ongeveer een week had Heinrich alle afgeschermde foto's van Gatfords vrouw gedownload. Op één van de foto's was Gatford met zijn kind te zien. Heinrich besloot het gezicht van het kind onherkenbaar te maken.
Politie
Het verhaal over het Facebook-lek werd door journalist Ben Grubb naar buiten gebracht. Die werd vandaag door politie gearresteerd en zijn iPad in beslag genomen, aldus de journalist via Twitter. Inmiddels is Grubb weer op vrije voeten, maar heeft de politie nog altijd zijn iPad in handen.
"facebook owns your pictures"
By posting User Content to any part of the Site, you automatically grant... an irrevocable, perpetual, non-exclusive, transferable, fully paid, worldwide license... to use, copy, publicly perform, publicly display ... such User Content for any purpose..
http://www.facebook.com/group.php?gid=6314950779
Daarbij is het onzin het oke te vinden de account van iemand te hacken omdat deze zichzelf als beveiligingsexpert neerzet.
Het erge is dat hij niet de pagina Gatford pakt maar zich verlaagt door de pagina van Gatford's vrouw te pakken.
Heinrich is wat mij betreft geen beveiligingsonderzoeker meer.
Peter
Het erge is dat hij niet de pagina Gatford pakt maar zich verlaagt door de pagina van Gatford's vrouw te pakken.
Heinrich is wat mij betreft geen beveiligingsonderzoeker meer.
Peter
De kunst van social engeneering is natuurlijk juist op zoek te gaan naar de zwakke plekken in de beveiliging.
Zoals bij een hovenier thuis het onkruid hoog staat en bij een loodgieter thuis de kraan lekt zo zijn de netwerken van Gatford's vrouw natuurlijk ook niet zwaar beveiligd.
gr Toine
Sure, maar Gatford is niet verantwoordelijk voor het beveiligingsmodel van Facebook. Daarnaast is het ook de vraag of de informatie zo gevoelig is dat het een probleem is voor Gatford dat de foto's online staan. Mijn foto's op Facebook kan je ongetwijfeld ook op die manier benaderen, maar dat boeit me weinig - mijn Picasa album staat hoe dan ook open ;)
Heinrich pretendeert dat je als expert niets online mag zetten wat zo openbaar zou kunnen worden. Indien hij echt een beveiligingsexpert is, dan zou hij zich beseffen dat het gaat om de vraag of Gatford zich bewust is van de kwetsbaarheid, en of hij al dan niet het risico wil nemen (accepted risk). De term 'accountable' vind ik dan ook wat lachwekkend; alsof het aan Heinrich is om te bepalen welke risico's Gatford en zijn vrouw, al dan niet bewust, nemen.
Nein, het antwoord op alles is altijd 42 !
http://en.wikipedia.org/wiki/Answer_to_Life,_the_Universe,_and_Everything#Answer_to_the_Ultimate_Question_of_Life.2C_the_Universe.2C_and_Everything_.2842.29
als we even nadenken, zonder zelf beginnen te spelen met de website....
een week om iets te berekeken...? op wat doen we berekeningen????
het is logischer als ge heer een week X gokt... wat een heel voorkomend iets is.
je kan ook sessionIDs gokken, in een week tijd vind iedereen een geldig.
dit is gekend als brute forcing! goeienacht!
Dan snap je de gedachtegang van zo'n onderzoeker niet. Uiteindelijk gaat deze op zoek naar de zwakste schakel in de keten
Tuurlijk begrijp ik zijn gedachtegang wel. Ik ben het er alleen niet mee eens.
Hijzelf is niet de zwakste schakel, en iedere "beveiligingsexpert" weet dat 100% veilig niet bestaat.
Hier is kennelijk gewoon sprake van een persoonlijke vete, niets meer en niets minder.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
