Facebook’s Messenger is razend populair, maar de Belgische hacker Inti De Ceukelaire toont aan dat de link die je privé in een chatbericht deelt ook door anderen kan worden bekeken.
De opzet is eenvoudig: elke keer je een url deelt op Facebook, of dat nu op je profiel is, of in een Messenger-gesprek, maakt Facebook daar in het gesprek of op je profiel een miniatuurversie van met onder meer de titel en een thumbnail.
Op de achtergrond wordt zo’n link en de bijhorende data tegelijk in de database van Facebook bewaard voor eventueel hergebruik. Daarbij wordt die link als een object bewaard en wordt er een uniek nummer toegewezen.
Als gewone gebruiker krijg je dat nummer niet te zien. Maar ontwikkelaars kunnen via de API van Facebook wel objecten uit die database oproepen, legt De Ceukelaire uit in een blogbericht. Hij deed de test met een nieuw document in Google Docs dat via een unieke link werd gedeeld in een gesprek. Door het nummer dat Facebook aan die link geeft nadien op te roepen, kwam ook de link naar boven.
Ook van onbekende gebruikers
Maar het probleem gaat breder. De Ceukelaire begon verder te testen met willekeurige cijfers om objecten in de database van Facebook op te roepen. Daarbij stootte hij meermaals op andere links die gebruikers ooit deelden. In ongeveer 1% van de gevallen bleek ook het Facebook-identificatienummer van de gebruiker in het nummer verwerkt te zijn.
Dat wil zeggen dat wie morgen een geheime linkt deelt, bijvoorbeeld van een wetransfer-bestand, Google Docs of je vakantiefoto’s die je via een openbare Dropbox-link tijdelijk deelt, dat die kan worden onderschept door anderen.
Het wordt nog griezeliger als je weet dat zulke processen vlot te automatiseren zijn. De Ceukelaire zegt dat hij op tien minuten tijd een zeventigtal links kon onderscheppen. Hij raadt gebruikers dan ook aan om nooit gevoelige links te delen via Messenger. “Via dit is massa survaillance perfect mogelijk”, klinkt het bij de 21-jarige hacker.
Facebook doet niets
De Ceukelaire gaat als hacker regelmatig op zoek naar fouten bij sites zoals Facebook. Als ethische hacker lichtte hij de site ook in over het probleem maar het securityteam van Facebook antwoordde dat het dit bewust toelaat. Enkel als er een groot aantal gegevens wordt opgevraagd dan wordt dat tegengehouden. Maar ook dat kan in principe omzeild worden door vanaf verschillende accounts te werken.
Mogelijk is dat omdat de meeste links, pakweg van kattenvideo’s, niet bepaald geheim zijn. Maar omdat de kwestie niet ten gronde wordt opgelost, is het voortaan ten sterktste af te raden om vertrouwelijke links via Messenger te versturen.
Fout opgemerkt of meer nieuws? Meld het hier