:

Szerző: Hlács Ferenc

2015. augusztus 14. 13:45

Így szivárog a Facebook

Facebook felhasználók tömegeinek személyes információi gyűjthetők be a közösségi oldal API-ját és véletlenszerűen generált telefonszámokat használva. A közösségi oldal nem tartja komolynak a hibát, mondván korlátozzák az így kinyerhető adatmennyiséget. De ilyen korlátot mégsem implementálnak.

A Facebookon tárolt adatok biztonságáról megoszlanak a vélemények: a paranoiásabbak szinte semmilyen valós adatot nem tesznek közzé profiljukon, másokat pedig egyáltalán nem foglalkoztat, hogy ki látja az általuk közzétett tartalmakat. Igaz, a közösségi oldal igyekszik mindenkit megnyugtatni, hogy információikra a legkorszerűbb ipari biztonsági szabványok vigyáznak - ami önmagában igaz is - a az felhasználók alapértelmezett biztonsági beállítások mellett jóval több adatot tesznek bárki számára elérhetővé, mint gondolnák - és az átlagos facebookozók többsége jó eséllyel ritkán merül el a profiljához kapcsolódó biztonsági opciók között.

Az ebből adódó veszélyekre Reza Moaiandin biztonsági szakértő is rámutatott néhány nappal ezelőtt, aki egy olyan módszert demonstrált, amellyel támadók az egyik, a közösségi oldalhoz tartozó API-n keresztül tömegesen gyűjthetnek be Facebook ID-ket és oldhatják fel azok titkosítását, ezáltal akár felhasználók millióinak személyes adataihoz férhetnek hozzá.

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

A biztonsági rés kihasználásához a szakértő egy script segítségével véletlenszerű telefonszámokat generált, egy kiválasztott ország vonatkozó szabályozásai alapján. A fenit API-n keresztül lehetőség nyílik ellenőrizni, hogy az adott számhoz tartozik-e felhasználó, és amennyiben igen, annak személyes adatai is lekérhetők az oldaltól. Moaiandin az Egyesült Államok, Kanada és Nagy-Britannia telefonszámaival is sikeresen reprodukálta a hibát.

A szakértő felfedezéséről még áprilisban tájékoztatta a Facebookot, az ugyanakkor válaszlevele szerint saját hatáskörben nem tudta reprodukálni a hibát - néhány hónappal később pedig Moaiandin azt a tájékoztatást kapta, hogy a probléma "nem komoly", továbbá a cég a kapcsolódó kódbázis átvizsgálása után úgy találta, hogy a funkció mennyiségi korlátozással párosul, azaz a fenti módszerrel nem kérhető le adott számúnál több profil, ennek megfelelően a vállalat nem tartja biztonsági hibának - ez éles ellentétben áll a kutató tapasztalataival, aki szerint hatalmas tömegek  adati férhetők hozzá az eljárással. Annak reményében tehát, hogy a vállalat így talán lép valamit, a Reza nyilvános blogposztban is beszámolt felfedezéséről.

A Facebook "feature" által jelentett veszély egyébként aránylag egyszerűen kivédhető, ha a felhasználó a "Ki láthatja az adataimat?" pont alatt korlátozza a hozzáférést ismeretlenek számára profiljához, ezt ugyanakkor kevesen teszik meg. Persze az is kérdés, hogy a Facebook szempontjából mi számít nagy tömegnek, azaz mekkora létszámnál kapcsol be a funkcióhoz párosuló throttling - 1,44 milliárdos felhasználói bázisnál könnyen lehet, hogy az oldal néhány millió usert még kisebb csoportnak tekint.

A következő hetek, hónapok során mindenesetre kiderül, hogy a hiba nyilvánosságra kerülésével változik-e a közösségi oldal álláspontja, vagy a cég szakértői helyett a támadóknak sikerül reprodukálni a hibát.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról

handheld

11

Új kézi konzolon dolgozhat a Sony

2024. november 25. 12:10

Az újdonság a Portalra épülhet és PS5-ös játékokat lehetne vele mobilizálni - felhőszolgáltatás nélkül.