Lekt FB of gmail mailadres naar AirBnB?

Je verhaal is niet heel duidelijk.

Privacy gerelateerde vraag, dus AWM->BV

Je was dus ingelogd op facebook met je gmailadres maar dat adres heb je nooit gebruikt voor communicatie met airbnb?
Ook nooit via facebook contact gehad met Airbnb dat ze het zo kunnen weten?

Heb zelf eenzelfde soort situatie meegemaakt door een mail via gmail van een oud-collega (geen andere oud-collega's die met hem en mij tegelijk op facebook verbonden waren) die ik jaren niet gesproken had.
Toen ik vervolgens inlogte op facebook kreeg ik hem meteen als vriendensuggestie....
Daar was blijkbaar iets aan elkaar gelinkt. In dit soort toevalligheden geloof ik niet bij iemand die ik 5+ jaar niet gesproken heb, dan heeft het 5 jaar gehad om mij die suggestie te sturen en zou het precies op dezelfde dag doen dat ik hem weer spreek? Nope, just nope...

Zo ben ik op de ghostery plugin voor firefox terecht gekomen zodat je alle trackers sowieso inzichtelijk krijgt. En dan valt pas op hoeveel sites van "facebook connect" gebruik maken.
Ik heb het niet diepgaand onderzocht, maar heb wel besloten om altijd uit te loggen bij facebook en facebook connect (bijna) standaard te blokkeren.

_{Mijn theorie: op veel sites kun je inloggen met je facebook account zodat je hem daar makkelijk kunt delen ed. In het geval dat je nog ingelogd was bij facebook en naar die andere site zou gaan om hem via facebook te delen, dan zou er niet zo'n facebook login moeten verschijnen. In die verbinding wordt er info uit je profiel gehaald en dat zou kunnen verklaren waarom ze jouw gmailadres hebben kunnen achterhalen.}

Niet veel beter nee. Bedrijven 'lekken' niet aan elkaar, en de software is dermate geautomatiseerd dat random mail op random adressen ontvangen meestal betekent dat dat al ergens in een account bij ze geregistreerd was.

Stel dat je ooit een account aangemaakt hebt met adres A maar inlogt met adres B en de software adres A aanhoudt ook al heb je B gekozen, dan kan dat dus weergegeven alsof het naar het verkeerde adres gaat. Dit gebeurt bijvoorbeeld met OAuth logins als je op een app inlogt door middel van Facebook-login of Google-login.

[ Voor 11% gewijzigd door johnkeates op 17-06-2017 00:27 ]

Staat airbnb bij facebook of google bij de connected sites?

Google, onderaan bij "remove a site"

Facebook how to

1x op de verkeerde login knop drukken terwijl je in een ander tabblad al ingelogd bent op facebook/google en je bent de sjaak...

Misschien is het via je telefoonnummer gekoppeld?

MrMonkE schreef op zaterdag 17 juni 2017 @ 02:03:
Misschien is het via je telefoonnummer gekoppeld?

Of via Cookies :-)

Is het niet zo dat het niet van jouw hoeft te komen, maar via iemand anders die jouw email heeft? Hetzelfde geld voor FB, tenzij je totaal geen vrienden hebt ...

In je screenshot zit voor ons geen bewijs dat het wel degelijk over verschillende email adressen gaat...
Er staat xxx***@gm*****.com, dit kan dus evengoed xxxxxx@gmx.com zijn.

Kan je even bevestigen dat hetgene voor de @ echt wel verschillend is voor je beide adressen...

-

[ Voor 98% gewijzigd door Verwijderd op 19-10-2019 11:52 . Reden: Leeg ivm privacy ]

Denhomer schreef op zaterdag 17 juni 2017 @ 09:27:
In je screenshot zit voor ons geen bewijs dat het wel degelijk over verschillende email adressen gaat...
Er staat xxx***@gm*****.com, dit kan dus evengoed xxxxxx@gmx.com zijn.

Dat dus, want gmail zou dan 3 puntjes moeten zijn, maar het zijn er 5, hahaha

DJMaze schreef op zaterdag 17 juni 2017 @ 10:56:
[...]

Dat dus, want gmail zou dan 3 puntjes moeten zijn, maar het zijn er 5, hahaha

Hoezo? Als je een naam gedeeltelijk onleesbaar maakt is het verbergen/anonimiseren van de lengte ook een mogelijkheid. Anders kun je net zo goed die moeite niet nemen.

Toch mee eens dat het voor ons niet sluitend is (met de gegeven informatie) dat het daadwerkelijk zo is gegaan zoals de TS aangeeft. Al heb ik net een stuk uit hun Terms en Conditions gelezen, nou, het zal me niet verbazen dat ze het Google adres links- of rechtsom wel ergens vandaan hebben kunnen halen.

Maar goed...
...@gm*****.com kan net zo goed
...@gmx.com zijn

[ Voor 4% gewijzigd door eric.1 op 17-06-2017 11:15 ]

PomPomPom schreef op zaterdag 17 juni 2017 @ 00:04:

• AirBnB kondigt aan code naar mijn gmail-adres te sturen

Dus, weet je dit heel zeker?

SuBBaSS schreef op zaterdag 17 juni 2017 @ 00:25:
Heb zelf eenzelfde soort situatie meegemaakt door een mail via gmail van een oud-collega (geen andere oud-collega's die met hem en mij tegelijk op facebook verbonden waren) die ik jaren niet gesproken had.
Toen ik vervolgens inlogte op facebook kreeg ik hem meteen als vriendensuggestie....

Dat komt door iets wat hij heeft gedaan.
Hij heeft jouw profiel bekeken of zijn Gmail aan Facebook gelinkt en toestemming gegeven zijn adreslijst te gebruiken.

Daar doe je zelf weinig tegen.

PomPomPom schreef op zaterdag 17 juni 2017 @ 00:04:

1. AirBnB heeft mijn gmx mailadres
2. AirBnB kondigt aan code naar mijn gmailgmx-adres te sturen
3. AirBnB stuurt de code naar mijn gmx mailadres

Dat is er gewoon gebeurd dus

Bij Airbnb wordt vaak gevraagd om je Facebook account te koppelen aan je account, dat is hoofdzakelijk om in te kunnen schatten of het om een "echt" persoon gaat. Ik kan men voorstellen dat de email info dan ook wordt meegenomen.

Inderdaad vermoedelijk gevalletje van inloggen met Facebook connect. Als je dat doet kun je overigens tijdens de registratie uitvinken welke informatie wordt doorgegeven.

frickY schreef op zaterdag 17 juni 2017 @ 11:26:
[...]

Dat komt door iets wat hij heeft gedaan.
Hij heeft jouw profiel bekeken of zijn Gmail aan Facebook gelinkt en toestemming gegeven zijn adreslijst te gebruiken.

Daar doe je zelf weinig tegen.

Daar zit inderdaad wat in. Heb het hem zelf niet gevraagd, maar was ook gewoon vindbaar op facebook dus dat zal een "1+1" zijn. Het was overigens in de Hyves-tijd, daarop linkte ik wel collega's maar dat wilde ik strikt gescheiden van fb houden.
Nou ja, was toch even een wake-up call voor me.

Cartman! schreef op zaterdag 17 juni 2017 @ 12:47:
[...]

Dat is er gewoon gebeurd dus

Inderdaad. Waarschijnlijk wordt de lengte van het email adres ook geanonimiseerd. Microsoft doet dit bijvoorbeeld ook. Aluminium hoedje mag terug af...

[ Voor 5% gewijzigd door mathias82 op 17-06-2017 17:25 ]

Verwijderd schreef op zaterdag 17 juni 2017 @ 09:33:
[...]

Hoe stel je je dat voor?

Heel erg simpel. Een cookie is een klein tekst bestandje waarin allerhande informatie kan staan. Meestal onversleuteld. Iedere website heeft de mogelijkheid om cookies uit te lezen die op je systeem staan. Als ik dus vanuit site-a.nl een cookie leest van site-b.nl weet ik de informatie die daar in stond. Een Cookie is namelijk niet expliciet van 1 site. Het is een bug in quirksmode die dit toe staat.

Wim-Bart schreef op zaterdag 17 juni 2017 @ 18:00:
[...]
Heel erg simpel. Een cookie is een klein tekst bestandje waarin allerhande informatie kan staan. Meestal onversleuteld. Iedere website heeft de mogelijkheid om cookies uit te lezen die op je systeem staan. Als ik dus vanuit site-a.nl een cookie leest van site-b.nl weet ik de informatie die daar in stond. Een Cookie is namelijk niet expliciet van 1 site. Het is een bug in quirksmode die dit toe staat.

Absoluut niet waar.

-

[ Voor 99% gewijzigd door Verwijderd op 19-10-2019 11:52 . Reden: Leeg ivm privacy ]

Even een voorbeeldje:
http://hackiteasy.blogspo...-cookie-stealing.html?m=1

http://hackwhiz.com/2015/...ng-and-session-hijacking/

http://www.101hacker.com/...tter-by-stealing.html?m=1

https://www.google.nl/url...DIWpSbK9nrT7ttLztCClbuYzQ


En zo zijn er nog veel meer die werken.

Wim-Bart schreef op zaterdag 17 juni 2017 @ 20:09:
Even een voorbeeldje:
http://hackiteasy.blogspo...-cookie-stealing.html?m=1

http://hackwhiz.com/2015/...ng-and-session-hijacking/

http://www.101hacker.com/...tter-by-stealing.html?m=1

https://www.google.nl/url...DIWpSbK9nrT7ttLztCClbuYzQ


En zo zijn er nog veel meer die werken.

Je hebt weinig kaas gegeten van de materie blijkbaar want dit bewijst in de verste verte niet wat je beweert.

-

[ Voor 99% gewijzigd door Verwijderd op 19-10-2019 11:52 . Reden: Leeg ivm privacy ]

Verwijderd schreef op zaterdag 17 juni 2017 @ 20:34:
[...]


Deze methode werkt alleen als de site in kwestie last heeft van SQL injectie. De optie met het plaatje idem-dito. CSRF heet dat. Als je een CSRF lek vindt bij Facebook en/of AirBNB ben je direct een paar duizend euro rijker.


[...]

Deze werkt niet, FF encrypt de cookie database.

[...]

Kan werken (de attack vector is nogal klein), maar ook:

Wikipedia: Transport Layer Security
https://hstspreload.org/

AirBNB en Facebook staan beiden op deze preload list:

https://cs.chromium.org/c...ecurity_state_static.json


[...]

Bouw een http proxy. Tja.

[...]


Ik ben niet erg onder de indruk van deze lijst en tevens betwijfel ik dat AirBNB adressen heeft verzameld door op deze manier cookies te jatten, de login te volgen (waar Facebook overigens behoorlijk goede security op heeft) en daar het email adres uit de preferences te halen.

Niet dat AirBnB het zou doen, maar dat wil nog niet zeggen dat het niet mogelijk is. Het zou ook niet mogelijk moeten zijn om de $MFT te benaderen vanuit een web pagina en toch lijkt het te lukken.

Veiligheid van browsers is een illusie en zal altijd zo blijven en ik denk dat recente events dat heeft aangetoond. Overigens plaatst FB cookies op je systeem op het moment dat jij bijvoorbeeld zo een leuk FB ikoontje op de site hebt is het helemaal makkelijk om informatie uit te wisselen.

Wanneer ik naar de site van airbnb kijk staan onderin leuke ikoontjes van o.a. fb. Als ik een trace uitvoer van de site zie ik daadwerkelijk ook data over de lijn gaan. Ik zie zelfs mijn eigen fb id naar airbnb verzonden worden. Lullig, maar toch gebeurd dat. En wat kan AirBnB dan ook opvragen in de backand via fb api's richting fb.

Dus om zo maar te zeggen, het kan niet, blijkbaar wel. Ik zou maar eens met profiling en sniffing tools aan de slag gaan om aan te tonen dat er geen informatie wordt uitgewisseld.

Wim-Bart schreef op zondag 18 juni 2017 @ 00:52:
[...]
Niet dat AirBnB het zou doen, maar dat wil nog niet zeggen dat het niet mogelijk is. Het zou ook niet mogelijk moeten zijn om de $MFT te benaderen vanuit een web pagina en toch lijkt het te lukken.

Als dat zo zou zijn dan kun je dik geld verdienen in diverse bug bounty programs.

Veiligheid van browsers is een illusie en zal altijd zo blijven en ik denk dat recente events dat heeft aangetoond. Overigens plaatst FB cookies op je systeem op het moment dat jij bijvoorbeeld zo een leuk FB ikoontje op de site hebt is het helemaal makkelijk om informatie uit te wisselen.

Serieus, hoe dan? Cookies zijn gebonden aan een host/pad/port en evt zelfs http(s)-only.

Wanneer ik naar de site van airbnb kijk staan onderin leuke ikoontjes van o.a. fb. Als ik een trace uitvoer van de site zie ik daadwerkelijk ook data over de lijn gaan. Ik zie zelfs mijn eigen fb id naar airbnb verzonden worden. Lullig, maar toch gebeurd dat. En wat kan AirBnB dan ook opvragen in de backand via fb api's richting fb.

Met enkel een FB ID kun je helemaal niets, simpel.

Dus om zo maar te zeggen, het kan niet, blijkbaar wel. Ik zou maar eens met profiling en sniffing tools aan de slag gaan om aan te tonen dat er geen informatie wordt uitgewisseld.

Je roept een hoop dingen maar je hebt geen enkele bron die dit aantoont behalve wat verouderde hacks waar je 5+ jaar geleden wellicht met een berg moeite iets mee kon. Je originele bewering dat je zomaar elke cookie van n willekeurige site kan uitlezen slaat werkelijk waar nergens op.

Daarnaast is t allemaal zwaar offtopic want de TS heeft zich simpelweg vergist dus het is niet eens aan de orde.

-

[ Voor 99% gewijzigd door Verwijderd op 19-10-2019 11:52 . Reden: Leeg ivm privacy ]

PomPomPom schreef op maandag 19 juni 2017 @ 00:04:
Overigens 'lekt' Facebook wel degelijk gebruikersinformatie, dat is zelfs hun business-case. En in zekere zin lekken ze ook mailadressen, lees bv:
https://arstechnica.com/b...tll-find-you-on-facebook/

Ze lekken hier niet zozeer e-mailadressen want in dit geval is het e-mailadres al bekend bij de derde partij (omdat je t zelf hebt afgegeven) dus dit voorbeeld gaat in deze niet echt op imo.

Maar in dit specifieke geval was was het een loos alu-hoed alarm.

Kan gebeuren