Cat de „public” este Facebook Graph Search?

Un hacker a reusit sa exploateze o vulnerabilitate din Facebook Graph Search sutragand astfel mii de numere de telefon de pe profile publice.

Atat hacker-ul in cauza cat si Facebook au fost de acord ca acele numere de telefon erau facute public de catre detinatorii conturilor. Hackerul a primit un ordin de la Facebook pentru a opri colectarea de date insa acesta nu si-a incetat activitatea si de aici au inceput discutiile. Brandon Copley este numele hacker-ului, si este un dezvoltator de aplicatii mobile din Dallas. Cifra numerelor de telefon pe care le-a strans de pe reteaua de socializare depaseste acum cu putin valoarea de 2.5 milioane. Acele cateva mii de numere de telefon mentionate in titlu sunt doar o parte din cele care s-au dovedit a fi active si apartinand unui profil real de pe reteaua de socializare.

Exista o dilema legata de cautarile publice pe Facebook Graph. Compania spune ca numarul de telefon este public si poate fi gasit in cautari, Copley este intrigat de ce se intampla asta, fiind de parere ca acesta informatie nu ar trebui sa apara in cautari.

„Facebook limiteaza drepturile la intimitate oferind posibilitatea numerelor de telefon sa fie afisate in cautarile de pe Graph Search ca si setare de baza. Acest lucru inseamna ca oricine are numarul meu de telefon imi poate gasi rapid profilul de Facebook. Poate nu am dezvaluit catre angajatorul meu profilul de Facebook, insa daca l-am sunat de pe telefonul meu acesta il va gasi imediat.”  spune Copley.

In teorie are dreptate, aici intervine intrebarea cat de publice sunt informatiile noastre de pe Facebook? Ei bine se pare ca destul de publice incat sa fie vizibile oricui cauta un numar de telefon. Compania si-a recunoscut vina legata de o vulnerabilitate a modulului „download your information” vinerea trecuta, care afisa adresa de email si numarul de telefon a peste 6 milioane de utilizatori. pe de alta parte Facebook a precizat ca acea vulnerabilitate nu are nici o legatura cu ceea ce a facut Copley, spunand ca problema respectiva nu afecta securitatea contului. Doar facea publice informatiile de contact…

Si povestea continua, in data de 5 Martie, Copley a raportat companiei urmatoarele:

„Exista o problema de securitate ce permite aproape oricui are cunostinte necesare, sa creeze o baza de date unde poate asocia numerele de telefon cu utilizatorii reali de Facebook.”

Copley a precizat de asemenea ca a folosit acea vulnerabilitate pentru a raporta un scammer de pe craigslist catre autoritati. un membru al echipei de securitate i-a raspuns email-ului respectiv spunand urmatoarele:

Mihaela Bilic a spus tot adevărul despre postul intermitent de slăbit. Ce avantaje și ce dezavantaje există

Satul situat la doar 30 de km de București pe care să-l vizitezi în weekend. Aici se ardeau zilnic câte 200 de cuptoare

„Personal sunt de acord cu ceea ce spui. Avem protectii pentru aceste tipuri de situatii, limitari si raportari de adrese IP ale celor care colecteaza date, dar pana la urma tine de fiecare utilizator in parte sa isi controleze afisarea informatiilor. Putem crea unelte pentru intimitatea utilizatorilor si ii putem incuraja sa le foloseasca insa nu putem schimba aceste setari pentru ei. Asadar nu putem face prea multe in acest sens.”

Primind acest raspuns atat de ambiguu, Copley s-a decis sa stranga o astfel de baza de date doar pentru a demonstra companiei ca aceasta este totusi o bresa de securitate grava in cadrul platformei de social media. Acesta a folosit token-uri din sectiunea de Developers de pe Facebook si din API-ul lui Graph Search pentru a putea efectua mii de cautari zilnice. Atunci cand a atins limita informatiilor ce puteau fi folosite cu acel API, a gasit altul, al unei alte aplicatii, care nu era limitata in acest sens.

Pe data de 26 Aprilie avocatii Facebook i-au trimis acestuia o scrioare in care i se spunea sa inceteze operatiunea de colectare a datelor. In acea scrisoare Facebook ii cerea toate materialele obtinute de pe reteaua de socializare, baza de date copiata si scripturile aferente acestei operatiuni. Pe langa acestea Copley trebuia sa intocmeasca o documentatie completa despre modul cum a folosit acele script-uri si cum functioneaza fiecare modul in parte.

A fost mentionat in aceasta discutie si numele lui Andrew Auernheimer, un utilizator care a descoperit o bresa in baza de date AT&T si a obtinut aproximativ datele personale a 114.000 de utilizatori de iPad 3G. Informatiile respective au ajuns la un editor Gawker. Andrew Auernheimer serveste o pedeapsa de 41 de luni in inchisoare fara drept de apel.

Diferenta este ca Andrew a publicat acele informatii care trebuiau sa fie private dar erau accesibile public iar informatiile copiate de Copley sunt deja accesibile public, din cauza setarilor de baza ale Facebook. Copley a precizat ca intre timp a gasit o metoda si mai rapida si chiar mai simpla de a avea acces la aceleasi informatii de pe reteaua de socializare.

Facebook doreste doua lucruri care in momentul de fata se afla in antiteza. El incurajeaza utilizatorii sa publice cat mai multe informatii personale si sa le lase accesibile pentru toata lumea insa pe de alta parte vrea sa impuna si un simt al intimitatii si un control asupra utilizatorilor. Astfel un utilizator ce isi creaza un profil de Facebook are toate setarile pe modul public insa „are optiunea” de a le seta pe privat, optiune care nu este de altfel foarte bine definita si promovata.

In acest moment nu se stie daca Facebook il va urmari pe Copley in instanta, el fiind destul de pornit sa isi demonstreze punctul de vedere, sau daca insusi Copley va inainta un proces legat de scrisoarea de intimidare a reprezentantilor legali ai Facebook.

In concluzie, ar trebui sa avem putin mai multa grija cu datele de pe Facebook, si va sfatuim sa va revizuiti optiunile de securitate ale contului, cine stie, probabil cu urmatorul update al platformei acestea nici nu vor mai exista.