Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

„Go home Facebook, you're drunk” – prywatność zagrożona?

Facebook co rusz zaskakuje nowymi feature'ami, w szczególności w zakresie wyglądu, reklam oraz prywatności. Szczególnie ta ostatnia kwestia jest oczkiem w głowie serwisu - niestety, w charakterze liczby błędów i "wycieków"...

To na pewno atak terrorystów!

Aktualnie, Facebook zmaga się z problemem powodującym wyświetlanie bliżej niezidentyfikowanych zdjęć zamiast elementów ichniego template'u, a także sugerowania użytkownikowi, że jest zalogowany jako ktoś inny. Na szczęście dostępu do nazbyt wrażliwych (poza zdjęciami) materiałów nie ma, jednak już taka sytuacja wydaje się co najmniej dziwna.

Zdjęcia wyświetlane w wyniku błędu co chwilę ulegają zmianie. Dla przykładu, zarówno znajomy, jak i ja, na swoich profilach trafiliśmy głównie na zdjęcia pochodzenia arabskiego. Oczywiście, szybko zaistniała teoria spiskowa, że to na pewno cyber-atak terrorystów na amerykańskie serwery Facebooka :) Dość szybko upadła, niemniej jednak – faktem jest, że najczęściej spotykane są zdjęcia z bliskiego wschodu, oraz centralnej i wschodniej Europy, w tym także Polski.

Poniżej kilka zrzutów ekranu wykonanych na różnych podstronach Facebook'a.

Kolizja kluczy sesji czy błąd serwerów cache'ujących

Jak donosi serwis Niebezpiecznik, potencjalną przyczyną problemów może być błąd na serwerach cache'ujących lub krzyżowanie się kluczy sesji. Jakkolwiek skomplikowanie by to nie brzmiało, wynik jest prosty: otrzymujemy dostęp do pewnego zakresu danych, do których dostępu mieć nie powinniśmy. Ciężko stwierdzić, czy wyświetlane "artefakty" tego błędu są prywatnymi udostępnieniami, czy też danymi dostępnymi publicznie, których wyświetlenie nie poczyni nikomu szkód. Istotnym jest jednak fakt, że do tego potężnego wycieku faktycznie doszło.

Reakcja?

Jak zareaguje Facebook – tego nie wiadomo. Spodziewać się można, że takie błędy będą rozwiązywane natychmiast. Biorąc jednak pod uwagę, że ten nowy "feature" występował na niektórych kontach użytkowników już od jakiegoś czasu (patrz: komentarze w serwisie Niebezpiecznik oraz wpisy na Reddit'cie) zdaje się, że jest to dla serwisu nie lada zagwozdka. Pozostaje nam czekać.

Morał

Każda historia musi mieć swój morał. Ten błąd przypomina nam, że cokolwiek zamieszczamy w Internecie, niezależnie czy w formie szyfrowanej czy nie, w pewien sposób staje się publiczne. Pojawia się na publicznie dostępnym w sieci serwerze, i choćby było ukryte pod najlepszym algorytmem szyfrującym – skoro da się to wyświetlić podając pewne dane logowania, to w wyniku błędu może potencjalnie być dostępne dla każdego. Nie ufajmy więc nazbyt Facebookowi i jemu podobnym – zamieszczajmy tam jedynie treści, które nie zaszkodzą nam jeśli trafią do informacji publicznej, a ustawienia prywatności traktujmy jako wytyczne dla serwisu "czego oczekujemy", nie zaś zapewnienia "co się stanie", bowiem na to nie mamy co liczyć.

AKTUALIZACJA, 2014-12-11, 23:30

Przed chwilą dotarłem do informacji, że wyciekają także znacznie bardziej wrażliwe treści, w tym aktualnie prowadzone rozmowy na Facebooku. Przykładem niech będzie poniższy zrzut ekranu (najwrażliwsze dane zostały ocenzurowane):
Paradoksem jest treść pierwszej wiadomości od lewej strony. Z tego wynika, że nasza prywatna korespondencja za sprawą Facebooka jest dostępna publicznie, co może dla niektórych skończyć się nieprzyjemnościami.

Coraz częściej można jednak zaobserwować inną reakcję webowej wersji FB – po otwarciu linku bezpośredniego do profilu pojawia się informacja o wylogowaniu użytkownika (pomimo, że jest się wciąż zalogowanym na swoim koncie). Możliwe, że potencjalnym zabezpieczeniem jest więc zamknięcie wszystkich okienek chatu FB do czasu naprawy usterki, a jeszcze lepiej wylogowanie się z wersji webowej serwisu. Możliwe, że logowanie do aplikacji mobilnej, oraz korzystanie z Messengera zabezpiecza (przynajmniej częściowo) przed wyciekiem informacji.

AKTUALIZACJA, 2014-12-12, 0:05

Niestety, zdaje się, że korzystanie z aplikacji mobilnej – przynajmniej na starszych wersjach systemu android – niekoniecznie chroni przed skutkami błędu. Warto jednak otworzyć Ustawienia FB, tam przejść do sekcji Bezpieczeństwo i zakończyć wszystkie zbędne sesje (ostatnia dostępna opcja). Jeśli błąd nie dotyczy serwera cache'ującego, a właśnie sesji logowania, może to potencjalnie przyczynić się do zmniejszenia zagrożenia.

AKTUALIZACJA, 2014-12-12, 7:10

Wygląda na to, że problem został częściowo rozwiązany. Aby usunąć skutki błędu z pojawiającymi się w losowych miejscach zdjęciami, należy wyczyścić cache (pamięć podręczną) przeglądarki. Niestety, skutek na części kont jest fragmentaryczny, tj. naprawia tylko niektóre podstrony (co prawdopodobnie zależy od tego, gdzie konkretne konto użytkownika jest przechowywane i propagacji zmian w systemie). W najbliższym czasie zalecam znaczną ostrożność przy korzystaniu z FB i przeniesieniu się z "bardziej prywatnymi" kwestiami do usług IM typu Skype, Hangout, Jabber lub GG. 

internet bezpieczeństwo

Komentarze

0 nowych
Vanshei   15 #1 12.12.2014 00:16

Gruba sprawa, nieźle. A co w przypadku gdy ktos ma logowanie zabezpieczone kodem SMS? Czy to też nie ma znaczenia?

NRN   9 #2 12.12.2014 00:21

@Vanshei: problem nie leży na poziomie uzyskania autoryzacji (logowanie + kod sms) lecz już po zalogowaniu. Najprawdopodobniej, bliżej niezidentyfikowane osoby otrzymują dostęp do identyfikującego Cię klucza sesji lub do danych cache'owanych przez serwer, co skutkuje nieautoryzowanym dostępem do zawartości.

Jeśli problem dotyczy kluczy sesji, wówczas rozwiązaniem byłoby zakończenie wszystkich aktywnych sesji (można to zrobić z menu bezpieczeństwa). Jeśli jednak dotyczy on pamięci podręcznej serwera - tutaj wiele zdziałać się nie da.

Autor edytował komentarz.
  #4 12.12.2014 07:25

http://puu.sh/dqsFK – kolizja
http://puu.sh/dqsqc – ciekawe zestawienie strony i obrazka
A obecnie komunikat: Please try again later.

djDziadek   17 #5 12.12.2014 08:48

@foreste: Twarzoksiązka była popsuta od początku, teraz tylko to widać ;)

NRN   9 #6 12.12.2014 09:31

@djDziadek: Coś w tym jest ;)

DjLeo MODERATOR BLOGA  18 #7 12.12.2014 11:09

Nie używam, nie chcę, nie lubię. Kropka.

rm7   5 #8 12.12.2014 11:14

"W najbliższym czasie zalecam znaczną ostrożność przy korzystaniu z FB i przeniesieniu się z "bardziej prywatnymi" kwestiami do usług IM typu Skype, Hangout, Jabber lub GG."
Skype, Hangout i GG są scentralizowane i podobnie niebezpieczne, jak Facebook (chyba, że używamy szyfrowania, np. OTR).
A ja bym polecił Diasporę, np. na https://diasp.eu/

Szeryfuniu   11 #9 12.12.2014 11:29

@DjLeo: Popieram! Jestem z Tobą ;)

FaUst   12 #10 12.12.2014 14:51

Im większy moloch się robi tym więcej problemów...

Vicodin   3 #11 12.12.2014 14:59

jeszcze kilkanaście godzin temu dało się podglądać rozmowy innych, losowych użytkowników i aktywności ich znajomych. Posłużyła do tego strona: https://www.facebook.com/images/profile/timeline/ która w chwili obecnej została wyłączona z użytku. Dodam również, że do wycieków w jakimś stopniu przyczynił się włączony pasek boczny (chatu i aktywności).

xavell   3 #12 12.12.2014 15:48

Zgłaszałem Facebookowi ten błąd już jakiś miesiąc temu.
Będąc na profilu mojej dziewczyny zamknąłem przeglądarkę (bez wylogowywania) i wyłączyłem komputer. Następnego dnia, gdy go włączyłem, byłem zalogowany do FB jako moja dziewczyna. W drugiej przeglądarce zalogowałem się na swoje konto i przesyłałem wiadomości pomiędzy kontami. Mogłem też dodawać zdjęcia posty itp...
Po mojej interwencji Facebook odpisał, że naprawili błąd. Chyba jednak nie...

Shaki81 MODERATOR BLOGA  38 #13 12.12.2014 22:21

@DjLeo: Dokładnie, pozostaje nam tylko pośmiać z biednych fejsbukowiczów (boże ale mi potworek słowny wyszedł:))

DjLeo MODERATOR BLOGA  18 #14 12.12.2014 22:31

@Shaki81: :) Dokładnie.. dla mnie fejs = snobizm. 400 znajomych i jak zachorujesz to nikt Cię nie odwiedzi w szpitalu. Chrzanić taką sieć społecznościową. Jakbym chciał wyrwać jakąś dziewczynę, czy dowiedzieć się co słychać u mojego idola to spoko. Obu tych rzeczy nie potrzebuję. Także fejs mi jest zbędny. Poza tym, znam lepsze sposoby na poprawienie sobie nastroju, niż chwalenie się innym jakie mam wspaniałe życie, co ma się tyle do prawdy ile piernik do wiatraka.

Autor edytował komentarz.
bravo   17 #15 13.12.2014 17:00

Jak dobrze, że nie korzystam z tych "fejsów". I pomyśleć, że ludzie jeszcze to na smartfonach instalują i synchronizują sobie niemalże mózgi z chmurą, a jak jest awaria to chyba biorą "L4", bo nie mogą bez tego żyć.

matty24   9 #16 15.12.2014 21:07

Ciekawe czy faktycznie rozwiązali problem czy tylko doraźnie coś naprawili? Nie ma to jednak jak komunikacja werbalna :)