image

Afgeschermde Facebook foto's toch zichtbaar

dinsdag 17 mei 2011, 17:30 door Redactie, 17 reacties

Een beveiligingsonderzoeker heeft een manier gevonden om afgeschermde foto's op Facebook toch voor iedereen zichtbaar te maken. Voor zijn demonstratie afgelopen zondag gebruikte Christian Heinrich zonder toestemming het profiel van de vrouw van HackLabs directeur Chris Gatford. Het is bekend dat Heinrich Gatford niet mag iets wat hij ook toegeeft.

Volgens Heinrich doet Gatford zich als beveiligingsexpert voor en is hij daarom verantwoordelijk voor wat hij online plaatst. "Ik heb geen gewetensbezwaar over het publiceren van de foto's, omdat ze zich in het publieke domein bevinden." De onderzoeker wilde aantonen dat niet alles op sociale netwerksites veilig is.

Voor het achterhalen van de foto's had Heinrich twee waarden nodig, het ID van het slachtoffer en X. Deze waarde liet de onderzoeker via een computer berekenen. Na ongeveer een week had Heinrich alle afgeschermde foto's van Gatfords vrouw gedownload. Op één van de foto's was Gatford met zijn kind te zien. Heinrich besloot het gezicht van het kind onherkenbaar te maken.

Politie
Het verhaal over het Facebook-lek werd door journalist Ben Grubb naar buiten gebracht. Die werd vandaag door politie gearresteerd en zijn iPad in beslag genomen, aldus de journalist via Twitter. Inmiddels is Grubb weer op vrije voeten, maar heeft de politie nog altijd zijn iPad in handen.

Reacties (17)
17-05-2011, 18:02 door WhizzMan
Nou Nou Nou.... Agent blij met een iPad. Verder totaal nutteloos voor een eventueel onderzoek naar de hack want "X" bereken je ongetwijfeld niet op je iPad.
17-05-2011, 22:15 door Rolfwil
Facebook zuigt... in heel veel opzichten.
17-05-2011, 23:10 door Anoniem
Het is sowieso bekend dat als mensen hun "Wall" open hebben staan, je via geposte foto's de betreffende albums alsnog kan openen, terwijl deze zelf niet direct ontsloten zijn via een benaderbare "Albums" pagina. Ook lekker handig ingericht...
18-05-2011, 01:09 door Morbius
Geen publiek domein....

"facebook owns your pictures"

By posting User Content to any part of the Site, you automatically grant... an irrevocable, perpetual, non-exclusive, transferable, fully paid, worldwide license... to use, copy, publicly perform, publicly display ... such User Content for any purpose..

http://www.facebook.com/group.php?gid=6314950779

Daarbij is het onzin het oke te vinden de account van iemand te hacken omdat deze zichzelf als beveiligingsexpert neerzet.
18-05-2011, 08:47 door Anoniem
Door Morbius: Daarbij is het onzin het oke te vinden de account van iemand te hacken omdat deze zichzelf als beveiligingsexpert neerzet.

Het erge is dat hij niet de pagina Gatford pakt maar zich verlaagt door de pagina van Gatford's vrouw te pakken.

Heinrich is wat mij betreft geen beveiligingsonderzoeker meer.

Peter
18-05-2011, 09:18 door Anoniem
Aaah de waarde X. nou bedankt voor dit nieuws.
18-05-2011, 10:51 door Anonl3m
Door Anoniem: Aaah de waarde X. nou bedankt voor dit nieuws.
Ja, als het nu '43' was...
18-05-2011, 11:24 door Anoniem
Het echte verhaal is dus dat ze in Australië zonder blikken of blozen journalisten oppakken om de verhalen die ze schrijven :p
18-05-2011, 11:29 door Anoniem
Door Anoniem:
Door Morbius: Daarbij is het onzin het oke te vinden de account van iemand te hacken omdat deze zichzelf als beveiligingsexpert neerzet.

Het erge is dat hij niet de pagina Gatford pakt maar zich verlaagt door de pagina van Gatford's vrouw te pakken.

Heinrich is wat mij betreft geen beveiligingsonderzoeker meer.

Peter
Dan snap je de gedachtegang van zo'n onderzoeker niet. Uiteindelijk gaat deze op zoek naar de zwakste schakel in de keten.
18-05-2011, 13:40 door Anoniem
Dan snap je de gedachtegang van zo'n onderzoeker niet. Uiteindelijk gaat deze op zoek naar de zwakste schakel in de keten

De kunst van social engeneering is natuurlijk juist op zoek te gaan naar de zwakke plekken in de beveiliging.
Zoals bij een hovenier thuis het onkruid hoog staat en bij een loodgieter thuis de kraan lekt zo zijn de netwerken van Gatford's vrouw natuurlijk ook niet zwaar beveiligd.


gr Toine
18-05-2011, 14:53 door Anoniem
"Volgens Heinrich doet Gatford zich als beveiligingsexpert voor en is hij daarom verantwoordelijk voor wat hij online plaatst."

Sure, maar Gatford is niet verantwoordelijk voor het beveiligingsmodel van Facebook. Daarnaast is het ook de vraag of de informatie zo gevoelig is dat het een probleem is voor Gatford dat de foto's online staan. Mijn foto's op Facebook kan je ongetwijfeld ook op die manier benaderen, maar dat boeit me weinig - mijn Picasa album staat hoe dan ook open ;)
18-05-2011, 14:57 door Anoniem
"Heinrich, who works as an IT security contractor, admitted he did not like Gatford but said that, because Gatford presented himself as a security expert, he should be accountable for what is posted online."

Heinrich pretendeert dat je als expert niets online mag zetten wat zo openbaar zou kunnen worden. Indien hij echt een beveiligingsexpert is, dan zou hij zich beseffen dat het gaat om de vraag of Gatford zich bewust is van de kwetsbaarheid, en of hij al dan niet het risico wil nemen (accepted risk). De term 'accountable' vind ik dan ook wat lachwekkend; alsof het aan Heinrich is om te bepalen welke risico's Gatford en zijn vrouw, al dan niet bewust, nemen.
18-05-2011, 15:20 door DarkViewOfTheWorld
Door Anonl3m:
Door Anoniem: Aaah de waarde X. nou bedankt voor dit nieuws.
Ja, als het nu '43' was...

Nein, het antwoord op alles is altijd 42 !
18-05-2011, 15:26 door Anoniem
42, da's correct.
Maar wat was de vraag ook alweer?
18-05-2011, 16:04 door Anoniem
De vraag was:

http://en.wikipedia.org/wiki/Answer_to_Life,_the_Universe,_and_Everything#Answer_to_the_Ultimate_Question_of_Life.2C_the_Universe.2C_and_Everything_.2842.29
18-05-2011, 18:21 door Anoniem
goedemorgen;

als we even nadenken, zonder zelf beginnen te spelen met de website....
een week om iets te berekeken...? op wat doen we berekeningen????

het is logischer als ge heer een week X gokt... wat een heel voorkomend iets is.

je kan ook sessionIDs gokken, in een week tijd vind iedereen een geldig.

dit is gekend als brute forcing! goeienacht!
20-05-2011, 01:48 door Morbius

Dan snap je de gedachtegang van zo'n onderzoeker niet. Uiteindelijk gaat deze op zoek naar de zwakste schakel in de keten

Tuurlijk begrijp ik zijn gedachtegang wel. Ik ben het er alleen niet mee eens.
Hijzelf is niet de zwakste schakel, en iedere "beveiligingsexpert" weet dat 100% veilig niet bestaat.
Hier is kennelijk gewoon sprake van een persoonlijke vete, niets meer en niets minder.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.