Így szivárog a Facebook
Facebook felhasználók tömegeinek személyes információi gyűjthetők be a közösségi oldal API-ját és véletlenszerűen generált telefonszámokat használva. A közösségi oldal nem tartja komolynak a hibát, mondván korlátozzák az így kinyerhető adatmennyiséget. De ilyen korlátot mégsem implementálnak.
A Facebookon tárolt adatok biztonságáról megoszlanak a vélemények: a paranoiásabbak szinte semmilyen valós adatot nem tesznek közzé profiljukon, másokat pedig egyáltalán nem foglalkoztat, hogy ki látja az általuk közzétett tartalmakat. Igaz, a közösségi oldal igyekszik mindenkit megnyugtatni, hogy információikra a legkorszerűbb ipari biztonsági szabványok vigyáznak - ami önmagában igaz is - a az felhasználók alapértelmezett biztonsági beállítások mellett jóval több adatot tesznek bárki számára elérhetővé, mint gondolnák - és az átlagos facebookozók többsége jó eséllyel ritkán merül el a profiljához kapcsolódó biztonsági opciók között.
Az ebből adódó veszélyekre Reza Moaiandin biztonsági szakértő is rámutatott néhány nappal ezelőtt, aki egy olyan módszert demonstrált, amellyel támadók az egyik, a közösségi oldalhoz tartozó API-n keresztül tömegesen gyűjthetnek be Facebook ID-ket és oldhatják fel azok titkosítását, ezáltal akár felhasználók millióinak személyes adataihoz férhetnek hozzá.
Modern SOC, kiberhírszerzés és fenntartható IT védelem (x) Gyere el meetupunkra november 18-án, ahol valós használati eseteken keresztül mutatjuk be az IT-biztonság legújabb trendjeit.
A biztonsági rés kihasználásához a szakértő egy script segítségével véletlenszerű telefonszámokat generált, egy kiválasztott ország vonatkozó szabályozásai alapján. A fenit API-n keresztül lehetőség nyílik ellenőrizni, hogy az adott számhoz tartozik-e felhasználó, és amennyiben igen, annak személyes adatai is lekérhetők az oldaltól. Moaiandin az Egyesült Államok, Kanada és Nagy-Britannia telefonszámaival is sikeresen reprodukálta a hibát.
A szakértő felfedezéséről még áprilisban tájékoztatta a Facebookot, az ugyanakkor válaszlevele szerint saját hatáskörben nem tudta reprodukálni a hibát - néhány hónappal később pedig Moaiandin azt a tájékoztatást kapta, hogy a probléma "nem komoly", továbbá a cég a kapcsolódó kódbázis átvizsgálása után úgy találta, hogy a funkció mennyiségi korlátozással párosul, azaz a fenti módszerrel nem kérhető le adott számúnál több profil, ennek megfelelően a vállalat nem tartja biztonsági hibának - ez éles ellentétben áll a kutató tapasztalataival, aki szerint hatalmas tömegek adati férhetők hozzá az eljárással. Annak reményében tehát, hogy a vállalat így talán lép valamit, a Reza nyilvános blogposztban is beszámolt felfedezéséről.
A Facebook "feature" által jelentett veszély egyébként aránylag egyszerűen kivédhető, ha a felhasználó a "Ki láthatja az adataimat?" pont alatt korlátozza a hozzáférést ismeretlenek számára profiljához, ezt ugyanakkor kevesen teszik meg. Persze az is kérdés, hogy a Facebook szempontjából mi számít nagy tömegnek, azaz mekkora létszámnál kapcsol be a funkcióhoz párosuló throttling - 1,44 milliárdos felhasználói bázisnál könnyen lehet, hogy az oldal néhány millió usert még kisebb csoportnak tekint.
A következő hetek, hónapok során mindenesetre kiderül, hogy a hiba nyilvánosságra kerülésével változik-e a közösségi oldal álláspontja, vagy a cég szakértői helyett a támadóknak sikerül reprodukálni a hibát.