@NRN
Blog (79)
Komentarze (533)
Recenzje (0)

„Go home Facebook, you're drunk” – prywatność zagrożona?

@NRN„Go home Facebook, you're drunk” – prywatność zagrożona?12.12.2014 00:10

Facebook co rusz zaskakuje nowymi feature'ami, w szczególności w zakresie wyglądu, reklam oraz prywatności. Szczególnie ta ostatnia kwestia jest oczkiem w głowie serwisu - niestety, w charakterze liczby błędów i "wycieków"...

To na pewno atak terrorystów!

Aktualnie, Facebook zmaga się z problemem powodującym wyświetlanie bliżej niezidentyfikowanych zdjęć zamiast elementów ichniego template'u, a także sugerowania użytkownikowi, że jest zalogowany jako ktoś inny. Na szczęście dostępu do nazbyt wrażliwych (poza zdjęciami) materiałów nie ma, jednak już taka sytuacja wydaje się co najmniej dziwna.

Zdjęcia wyświetlane w wyniku błędu co chwilę ulegają zmianie. Dla przykładu, zarówno znajomy, jak i ja, na swoich profilach trafiliśmy głównie na zdjęcia pochodzenia arabskiego. Oczywiście, szybko zaistniała teoria spiskowa, że to na pewno cyber-atak terrorystów na amerykańskie serwery Facebooka :) Dość szybko upadła, niemniej jednak – faktem jest, że najczęściej spotykane są zdjęcia z bliskiego wschodu, oraz centralnej i wschodniej Europy, w tym także Polski.

Poniżej kilka zrzutów ekranu wykonanych na różnych podstronach Facebook'a.

Przykładowa strona Wydarzeń dla FanPage-u.
Przykładowa strona Wydarzeń dla FanPage-u.
[1/2] Przykładowa strona informacji.
[2/2] Przykładowa strona informacji.
Skutek otwarcia odnośnika: https://www.facebook.com/images/profile/timeline/
Skutek otwarcia odnośnika: https://www.facebook.com/images/profile/timeline/

Kolizja kluczy sesji czy błąd serwerów cache'ujących

Jak donosi serwis Niebezpiecznik, potencjalną przyczyną problemów może być błąd na serwerach cache'ujących lub krzyżowanie się kluczy sesji. Jakkolwiek skomplikowanie by to nie brzmiało, wynik jest prosty: otrzymujemy dostęp do pewnego zakresu danych, do których dostępu mieć nie powinniśmy. Ciężko stwierdzić, czy wyświetlane "artefakty" tego błędu są prywatnymi udostępnieniami, czy też danymi dostępnymi publicznie, których wyświetlenie nie poczyni nikomu szkód. Istotnym jest jednak fakt, że do tego potężnego wycieku faktycznie doszło.

Reakcja?

Jak zareaguje Facebook – tego nie wiadomo. Spodziewać się można, że takie błędy będą rozwiązywane natychmiast. Biorąc jednak pod uwagę, że ten nowy "feature" występował na niektórych kontach użytkowników już od jakiegoś czasu (patrz: komentarze w serwisie Niebezpiecznik oraz wpisy na Reddit'cie ) zdaje się, że jest to dla serwisu nie lada zagwozdka. Pozostaje nam czekać.

Morał

Każda historia musi mieć swój morał. Ten błąd przypomina nam, że cokolwiek zamieszczamy w Internecie, niezależnie czy w formie szyfrowanej czy nie, w pewien sposób staje się publiczne. Pojawia się na publicznie dostępnym w sieci serwerze, i choćby było ukryte pod najlepszym algorytmem szyfrującym – skoro da się to wyświetlić podając pewne dane logowania, to w wyniku błędu może potencjalnie być dostępne dla każdego. Nie ufajmy więc nazbyt Facebookowi i jemu podobnym – zamieszczajmy tam jedynie treści, które nie zaszkodzą nam jeśli trafią do informacji publicznej, a ustawienia prywatności traktujmy jako wytyczne dla serwisu "czego oczekujemy", nie zaś zapewnienia "co się stanie", bowiem na to nie mamy co liczyć.

AKTUALIZACJA, 2014-12-11, 23:30

Przed chwilą dotarłem do informacji, że wyciekają także znacznie bardziej wrażliwe treści, w tym aktualnie prowadzone rozmowy na Facebooku. Przykładem niech będzie poniższy zrzut ekranu (najwrażliwsze dane zostały ocenzurowane):

Wyciek korespondencji?
Wyciek korespondencji?

Paradoksem jest treść pierwszej wiadomości od lewej strony. Z tego wynika, że nasza prywatna korespondencja za sprawą Facebooka jest dostępna publicznie, co może dla niektórych skończyć się nieprzyjemnościami.

Coraz częściej można jednak zaobserwować inną reakcję webowej wersji FB – po otwarciu linku bezpośredniego do profilu pojawia się informacja o wylogowaniu użytkownika (pomimo, że jest się wciąż zalogowanym na swoim koncie). Możliwe, że potencjalnym zabezpieczeniem jest więc zamknięcie wszystkich okienek chatu FB do czasu naprawy usterki, a jeszcze lepiej wylogowanie się z wersji webowej serwisu. Możliwe, że logowanie do aplikacji mobilnej, oraz korzystanie z Messengera zabezpiecza (przynajmniej częściowo) przed wyciekiem informacji.

AKTUALIZACJA, 2014-12-12, 0:05

Niestety, zdaje się, że korzystanie z aplikacji mobilnej – przynajmniej na starszych wersjach systemu android – niekoniecznie chroni przed skutkami błędu. Warto jednak otworzyć Ustawienia FB, tam przejść do sekcji Bezpieczeństwo i zakończyć wszystkie zbędne sesje (ostatnia dostępna opcja). Jeśli błąd nie dotyczy serwera cache'ującego, a właśnie sesji logowania, może to potencjalnie przyczynić się do zmniejszenia zagrożenia.

AKTUALIZACJA, 2014-12-12, 7:10

Wygląda na to, że problem został częściowo rozwiązany. Aby usunąć skutki błędu z pojawiającymi się w losowych miejscach zdjęciami, należy wyczyścić cache (pamięć podręczną) przeglądarki. Niestety, skutek na części kont jest fragmentaryczny, tj. naprawia tylko niektóre podstrony (co prawdopodobnie zależy od tego, gdzie konkretne konto użytkownika jest przechowywane i propagacji zmian w systemie). W najbliższym czasie zalecam znaczną ostrożność przy korzystaniu z FB i przeniesieniu się z "bardziej prywatnymi" kwestiami do usług IM typu Skype, Hangout, Jabber lub GG.

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.