Deanonymizing Facebook Users By CSP Bruteforcing

Deanonymisierung

Did you ever wish to have all relevant information about a visitor right when he hits your site? Think of (full) name, gender and maybe hobbies and interests? Thanks to social networks we could at least get some of that data. All you need is the URL to that visitors (public) Facebook or Google+ profile – but if he doesn’t actively give it to you, you’re probably out of luck.

What if we could get that profile URL without the user even noticing it?

Inspired by the great article When Security Generates Insecurity (hat tip to Michael, who shared it and implemented the proposed login-check) I discovered that it is possible to get the profile URL of a logged-in Facebook user by exploiting the Content-Security-Policy implementation in Google Chrome. It requires some preconditions, but it’s definitly possible – and I’m going to explain how it works and why it’s dangerous in really great detail 😉

Lesen Sie weitere Deanonymizing Facebook Users By CSP Bruteforcing

Deanonymisierung von Facebook Nutzern durch CSP Bruteforcing

Deanonymisierung

Stellt euch vor, ihr könntet über einen Besucher eurer Webseite alle relevanten Informationen in Erfahrung bringen (Name, Geschlecht, Vorlieben, etc.). Dank den sozialen Netzwerken sind diese Informationen zumindest zum Teil öffentlich verfügbar (z.B. durch Facebook- oder Google+ Profile). Allerdings müsste man dazu wissen, ob ein Besucher ein solches Profil besitzt und – hier wird es kompliziert – wie dieses lautet.

Angestoßen durch den Artikel When Security Generates Insecurity (Hat Tip to Michael, der die Abfrage des Login-Status implementiert hat) habe ich herausgefunden, dass es möglich ist, die Facebook Profil-URL eines Users durch die Ausnutzung einer Lücke in Google Chrome herauszufinden.

Lesen Sie weitere Deanonymisierung von Facebook Nutzern durch CSP Bruteforcing