Index Vakbarát Hírportál

Több ezer adat gyűjthető be percek alatt Facebookról

2015. augusztus 10., hétfő 09:40

Egy szoftvermérnöknek sikerült kihasználnia a Facebook egyik adatbiztonsági beállítását, hogy automatikusan gyűjtsön be több ezer felhasználói adatot. Reza Moaiandin azt használta ki, hogy ha egy felhasználó összekötötte a mobilszámával a Facebook-profilját, akkor alapértelmezettként megtalálható az oldalon a száma alapján még akkor is, ha a profiladatai között nem adta meg a telefonszámot.

Moaiandin egy egyszerű algoritmussal másodpercenként több tízezer telefonszámot generált, majd ezeket elküldte a Facebook API-jának (az eszköznek, amellyel a fejlesztők mindenféle appot kapcsolhatnak a Facebookhoz), az pedig perceken belül szépen visszaküldött neki egy rakás felhasználói adatot.  Alapvetően ez nem hiba, és csak nyilvánossá tett adatok (nevek, profilképek, tartózkodási helyek) érhetők el a módszerrel, a biztonsági szakemberek szerint viszont ilyen mennyiségben könnyű visszaélni velük, például a netes feketepiacon jól eladható adatbázist összeállítani belőlük.

Graham Cluley kiberbiztonsági elemző szerint a cégnek még az ilyen nyilvános adatok elérhetőségét is a lehető legnehezebben elérhetővé kellene tennie harmadik fél számára. Ehhez képest Moaiandin szerint az általa talált biztonsági rés olyan, 

mintha besétálna egy bankba, hogy kéne neki néhány ezer felhasználói adat, az ügyintéző pedig két perc múlva átnyújtana neki egy vaskos mappát.

Éppen ezért már áprilisban is szólt a Facebooknak, majd júliusban megint. A cég szerint azonban nincs itt semmi látnivaló, ők mindennél jobban figyelnek arra, hogy a felhasználóik adatai biztonságban legyenek, folyamatosan monitorozzák a gyanús tevékenységet a rendszerük körül, és az API-jukkal kapcsolatban is nagyon szigorú feltételeket szabnak.

Ennek ellenére a biztonsági szakemberek már jó ideje sürgetik a Facebookot, hogy egyrészt vegye komolyabban és tegye átláthatóbbá az adatvédelmi beállításokat (amiben mutattak is fejlődést az utóbbi években), másrészt hogy vezessen be további titkosítási rétegeket is a felhasználói védelmére.

Bár a hírre reagáló Facebook-szóvivő hangsúlyozta, hogy mindenki beállíthatja magának, kivel mit oszt meg magáról, nem ez lenne az első alkalom, ha kiderülne, hogy nem minden felhasználó van tisztában egy-egy információ nyilvánosságával. Úgyhogy csak a biztonság kedvéért: a Beállítások>Adatvédelem>Ki találhat rám? útvonalon kikapcsolható, hogy mobilszám alapján megtalálhatók legyünk.

Rovatok