Feed subscription » blog | » comments | » google+ | » mobi | » twitter

Facebook posiela IP adresu užívateľov priamo v emailoch

Bezpečnosť Facebooku patrí medzi vďačné témy a to nielen preto, že sa tím okolo Facebooku snaží znateľne znížiť všeobecne zaužívané pravidlá pre publikovanie osobných informácií na internete.

Facebook je aj zaujímavým miestom pre hľadanie bezpečnostných zraniteľností. Jednu z tých zaujímavých dnes publikoval Matt Churchill. Ten si všimol, že Facebook v notifikačných emailoch zasiela rôzne údaje, ktorými umožňuje lepšie identifikovať zdroj pre administrátorov emailových serverov. Jedným z týchto údajov je však aj IP adresa osoby, ktorá napríklad okomentovala váš status, požiadala vás o priateľstvo, atď.

Postup ako zistiť IP adresu takejto osoby je jednoduchý:

  • musíte mať povolené notifikácie na váš email (je jedno či priamo komentáre, alebo len žiadosti o priateľstvo, atď.)
  • nájdite si email napríklad so žiadosťou o priateľstvo a otvorte si zdrojový kód emailu
  • vyhľadajte v ňom túto časť X-Facebook: from zuckmail ([MjEzLjE1MS45NC4xODY=]) by www.facebook.com with HTTP (ZuckMail); (viď obrázok dole)
  • reťazec v hranatých zátvorkách je IP adresa osoby zakódovaná v base64
  • pre odkódovanie môžete použiť aj napríklad hackvertor (viď)
  • IP adresu je možné overiť voči GeoIP databáze

Aký má Facebook dôvod, aby prezrádzal IP adresu konkrétnych užívateľov v emailoch nevedno, pravdepodobne sa to však rýchlo zmení.

Zaujal vás článok? Sledujte ma na Twitteri.


20 Responses to “Facebook posiela IP adresu užívateľov priamo v emailoch”


  1. 1 hladomorko May 8th, 2010 at 03:38

    azet tiez uvadza IPcku uzivatela pri ich mailoch v hlavicke pod [X-Original-IP]

  2. 2 Rastislav Turek May 8th, 2010 at 04:26

    @hladomorko: zaujimava informacia, no trosku rozdielna. tu sa IP adresa ukazuje pri notifikacii, to znamena, napriklad pri komentari. U azetu sa ukazuje az pri poslani emailu, co je mierne rozdielna vec, ale i tak zaujimava.

  3. 3 spaze May 8th, 2010 at 06:54

    To samé, co dělá azet, tak dělá i seznam.cz a centrum.cz (samozřejmě, stejně jako azet až při poslání mailu):

    Received: from 11.120.broadband3.iol.cz (11.120.broadband3.iol.cz [85.70.120.11])
    by email.seznam.cz (Email.Seznam.cz) with HTTP
    for …@seznam.cz;
    Thu, 11 Mar 2010 12:09:21 +0100 (CET)

    Received: from 77.104.237.110 (X-Forwarded-For: 77.104.237.110)
    by mail1004.centrum.cz (centrum.cz multimail) with HTTP

  4. 4 otis May 8th, 2010 at 09:35

    Nuz, a preco neuvadzat? Ma sa facebook pouzivat ako anonymny e-mail? Ja fakt neviem.

    Anyway, IP adresu odosielatela zverejnuju vsetky mailery, snad uz dobrych 25 rokov.

    Received: from [127.0.0.1] (remedy.wilbury.sk [IPv6:2a01:390:4::47])
    (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
    (Client CN “janitor”, Issuer “LTC CA” (verified OK))
    by smtp.ltc.sk (Postfix) with ESMTPS id 870B67607
    for ; Sat, 8 May 2010 09:33:15 +0200 (CEST)

    Toto je standardny postfix. Posiela to aj zoznam, azet a ini. Netreba si z toho robit tazku hlavu. Kto chce, ten si mail anonymizuje, dokonca si anonymizuje aj proxy :-)

  5. 5 Bobek May 8th, 2010 at 09:46

    A jak moc je to odlisne od emailu napr. ze seznamu? Take sdeluji zdrojovou IP adresu, dokonce primocareji. Priklad hlavicky ze seznamu (vlastni IP jsem zahodil ja):

    Received: from XXXXXXXXXX.strcechy.adsl-llu.static.bluetone.cz (XXXXXXXX.strcechy.adsl-llu.static.bluetone.cz [xx.xx.xx.xx])
    by email.seznam.cz (Email.Seznam.cz) with HTTP
    for xxxxxxx@seznam.cz;
    Sat, 8 May 2010 9:44:34 +0200 (CEST)

  6. 6 johny May 8th, 2010 at 10:57

    Dal by som “Like”, ale budeš mať moju IP adresu… vlastne, teraz je to už asi jedno.

  7. 7 veon May 8th, 2010 at 13:21

    tak mi to nedalo a skusil som si to pozriet. zranitelnost (ak sa to tak da nazvat) je uz opravena. stale sa tam teraz zobrazuje ip localhostu teda 127.0.0.1

  8. 8 Rastislav Turek May 8th, 2010 at 14:04

    @otis @spaze @bobek: rozdiel je, ze tu IP adresu posiela pri kazdej notifikacii, nie pri odoslani emailu, kde je to pochopitelne a bolo to zavedene ako urcita ochrana pred spamom.

    rozdiel je ten, ze toto nie su emaily posielane od uzivatelov, ale od facebooku, v ktorych posiela IP adresu uzivatela pri akejkolvek interakcii, ktora je spojena s niekym dalsim. mne to normalne nepride.

  9. 9 hulo May 10th, 2010 at 08:32

    “Moju” IP adresu vie každý web, ktorý som navštívil (neanonymne). Nevidím problém v tom, ak sa ju dozvie aj niekto z mojich priateľov, navyše koľkí si pozeráme úplné hlavičky mailov? Zároveň, ak ISP používa NAT, tak tá adresa nie je až tak úplne a určite nie výhradne “moja”. :-)

  10. 10 romee May 10th, 2010 at 12:01

    Mne sa to tiez nezda v pohode. Tie notifikacie vznikaju pri uplne inej cinnosti ako posielanie mailov, kde vedome komunikujem s opacnou stranou a zhruba viem ake informacie o mne dostava. Po spojeni s geoip by mohlo dojst k situacii ako napr. http://pleaserobme.com/.

    Co sa tyka uvadzania IP adresy klienta v e-mailoch, tiez sa mi nezda ze by to bolo uplnym pravidlom. Spominam si ze som to na niektorom MTA explicitne zakazoval a zda sa mi ze nie vsetky MTA to robia defaultne.

    A argument o pouzivani facebooku ako anonymny e-mail podla mna nie je spravny, predsa absencia IP adresy neznamena ze neviem od koho mi ta notifikacia prisla. A jej pritomnost mi zase identitu odosielatela nijak nepomoze potvrdit. A pokial ide o data retention, na serveri sa tie IP adresy predsa mozu kludne ukladat.

  11. 11 JrMn May 15th, 2010 at 13:55

    Preco mi to vzdy ukaze ze pochadza od uzivatela s IP 127.0.0.1?
    Skusane na viacerych PC, zosietovanych, aj nie, a stale to iste.

  12. 12 hulo May 18th, 2010 at 11:56

    #11 JrMn: 127.0.0.1 zobrazuje preto, že chyba bola takto odstránená. Skús si pozrieť staršie maily. :)

  13. 13 Peter May 27th, 2010 at 14:05

    hmm preco vas trapi IP adresa? nieje fb o tom ze pisete s ludmi ktorych poznate? a aku ip ma kamoska kamos je dost jedno pretoze viem jeho totoznost a nepotrebujem ju zistovat z IP, napiste mi 5 dovodov aky zmysel mal tento clanok.

  14. 14 Jano May 31st, 2010 at 11:31

    Poradite mi niekto kde to mam najst, prezeram stare maily a nikde to nevidim.
    Dakujem

  15. 15 Danoboss Jun 7th, 2010 at 00:07

    Rasťo musím sa spýtať :) Ten banner KSS je z tvojej strany recesia alebo je ti jedno kto platí, prípadne sa s ich politikou stotožňuješ? Ja tu nechcem robiť politického sudcu čo je správne a čo nie, ani sa vysmievať nikoho názorom, ale blog ktorý píše aj o slobode internetu + komunisti… asi uznáš sám, že to pôsobí trocha pozoruhodne :)

  16. 16 Rastislav Turek Jun 7th, 2010 at 00:18

    @Danoboss: to je google adsense. nemam nastaveny vobec ziadny filter a tak zobrazuje to, co sa objavi v systeme. nechcelo sa mi to nastavovat, ale ako to tak vidim, tak budem musiet. inak s tym nemam nic spolocne a verejne oficialne priznavam, ze budem volit SAS

  17. 17 Danoboss Jun 7th, 2010 at 16:28

    Aha to ma nenapadlo, pretože už mesiac sa mi zobrazuje to isté, už som to bral ako folklór tejto stránky :D Inak verejne priznávam, že keďže viacerých zo SaSkarov aspoň trocha poznám, tak ja tiež (napriek mierne infantilnej kampani, ktorá sa mi moc nepáči).

    Inak ešte jednu vec som ti chcel ponúknuť ak by ťa to zaujímalo, mám ten druhý bezpečnostný prvok od Tatrabanky – ten “Ikey pre podnikateľov”, je to založené na elektronickom podpise a je to pre tých čo používajú Internet Banking často a čítačka je pre nich moc pomalá (to sa síce na mňa nevzťahuje, ale chcel som to vyskúšať). Ak by si to chcel nejako vyskúšať ako námet pre ďalší článok, tak by asi nebol problém.

  18. 18 etharendil Jul 22nd, 2010 at 11:59

    hmm myslím že pri tom obrovskom množstve informácií čo sa dajú o človekovi z facebooku zistiť je jeho IP adresa to najmenšie..

  19. 19 asdfg Jan 23rd, 2012 at 13:06

    napíšte mi prosím niekto že prečo sa na môj fb účet prihlasuje niekto z hocijakých regiónov ..dala som si aby mi na mail chodilo keď sa prihlásim a tam mi ukazuje regióny ako BB BA alebo topoľčany, trnava ..je to nieaká kontrola alebo sa mi tam dakto naondieva ? ..

  20. 20 Rastislav Turek Jan 23rd, 2012 at 13:15

    @asdfg: na regiony sa vykasli. pozri sa sem https://www.facebook.com/settings?tab=security&section=sessions&t a porovnaj si, ci sa to zhoduje s casom, v ktorom sa prihlasujes. ak nie, tak pomen heslo a pohraj sa s nastaveniami, zmen heslo primarne na emaily (dolezita je dlzka, nie zlozitost).

Zanechajte odkaz

  • na ďalšie komentáre odkazujte za použitia čísla komentáru v hranatej zátvorke, napríklad [3]
  • vaša IP adresa je logovaná a zneužívaná na výskumné účely
  • môžete mi tykať
  • komentáre sú moderované, kritiku prijímam, snažte sa prosím strániť invektív