Многочисленные рекламодатели по чистой случайности получили возможность читать частную переписку, просматривать фотоальбомы миллионов пользователей социальной сети Facebook. Утечка данных, которая велась на протяжении нескольких лет, позволяла не только читать конфеденциальные данные пользователей, но и даже писать от их имени в Facebook.
Symantec, специалист в области разработки антивирусных продуктов, анализируя деятельность Facebook, обнаружила возможность получения несанкционированного доступа рекламных компаний-партнеров Facebook к данным простых пользователей. Учитывая объем аудитории социальной сети в шестьсот миллионов человек, можно представить себе масштаб бедствия. Двое сотрудников компании Symantec, Кандид Вест и Нишант Доши смогли выяснить, что посторонние имели возможность доступа к учетным записям в течение нескольких последних лет. Интересно, что доступ к данным стал возможным через платформу IFRAME, на базе которой разрабатываются приложения для Facebook.
Таким образом, из-за программной ошибки (или ошибке в архитектуре средств разработки для соц.сети) к рекламодателям попали в руки миллионы хэшей, которые можно использовать для аутентификации в сети под именами простых пользователей.
Таким образом, рекламодатель, не обремененный совестью, мог от имени пользователя-жертвы читать «стену», переписку в чате, просматривать профили «друзей», оставлять сообщения как на «стенах» пользователя и его «друзей», вести переписку, приглашать людей на мероприятия. К счастью, каждый ключ давал возможность провести только одну операцию.
В момент установки пользователем нового приложения социальная сеть отсылала разработчикам программы данные о местоположении и возрасте пользователя. По всей видимости, ключи утекали вместе с этими же данными. Как выяснила Symantec, утечка происходила случайно, непреднамеренно, но очень часто. Полученные таким образом ключи работали до первого их использования.
Пользователи Facebook, которые беспокоятся о своей безопасности, должны как можно быстрее сменить свой пароль к учетной записи, — замечают сотрудники Symantec. Они также смообщают, что последствия от этой находки будут еще очень долго проявлять себя в дальнейшем, оценить масштаб утекших данных невозможно, однако, если прикинуть, что утечка происходит с 2007 года, когда было запущено первое приложение для Facebook…
«Мы боимся, что большая часть утекших ключей доступа до сих пор находятся в руках третьих лиц или активно используются рекламодателями в своих целях»
— замечает разработчик антивирусов.
Facebook, со своей стороны, не отрицает имеющейся проблемы и уже принял меры для решения данного вопроса.
Представитель Facebook в последнем своем обращении сообщил, что компания обновила устаревший API (Application Programming Interface — интерфейс разработки приложений — прим. автора) и провела внутреннее расследование, выявив, что персональные данные не попали в руки третьих лиц. Также он заметил, что рекламодатели и разработчики, сотрудничающие с Facebook, обязываются не собирать никаких данных о пользователях и уж тем более передавать их третьим лицам. Это нарушает политику самой социальной сети.
В этом году Facebook находится под пристальным вниманием со стороны властей стран всего мира. Например, Европейская комиссия потребовала от социальной сети ужесточения правил конфиденциальности для пользователей. Антимонопольные органы власти Германии запретили рассылки для пользователей Facebook без согласия последних. Сенат Соединенных Штатов Америки беспокоится о том, что Facebook может стать «телефонной книжкой» для лиц, заинтересованных в хищении личных данных граждан Америки.
Федеральная Служба Безопасности Российской Федерации тоже нелестно отзывалась о Facebook: они заявили, что использование интернет-ресурсов, работающих на основе иностранных алгоритмов шифрования угрожает национальной безопасности. А скандально известные
Wikileaks отписались о сети в своем духе, назвав ее «Величайшей машиной шпионажа» в мировой истории.
В результатае, Facebook сейчас находится под пристаьным вниманием рекламщиков, властей, хакеров и простых пользователей.
