Újabb méretes adatszivárgás áldozata lett a Facebook
Ezúttal két külső cég tett nyilvánosan elérhetővé nagy mennyiségű felhasználói adatot, rosszul konfigurált Amazon szervereken.
Újabb masszív adatszivárgásba futott bele a Facebook, ezúttal két, külső cégnek köszönhetően. A fiaskót az UpGuard biztonsági szakértői fedezték fel, a kutatók blogposztja szerint a két harmadik fél által a közösségi oldalról begyűjtött adathalom nyilvánosan hozzáférhető szervereken pihent.
A szivárgás egyik fele a mexikói székhelyű Cultura Colectiva médiavállalathoz köthető: esetében nem kevesebb mint 146 gigabájtnyi adatról van szó, köztük kommentekkel, like-okkal, reakciókkal, profilnevekkel, Facebook ID-kkal és más információkkal. A nyilvánosságra került adatok másik feléért az At the Pool névre hallgató Facebook-app felel, amelynek adatbázisában fokozott aggodalomra ad okot egy "passwords" címkés adatoszlop - ugyanakkor a kutatók szerint ez nagy valószínűséggel nem a Facebook profilokhoz tartozó jelszavakat, hanem az At the Pool alkalmazás azonosítóit tartalmazza. Mivel azonban sok felhasználó hajlamos egy jelszót több szolgáltatásban is használni, az adatbázis így is komoly biztonsági kockázatot jelent.
Szerencsére az At the Pool adatbázisa jóval kisebb, mint a Cultura Colectiváé, azonban így is 22 ezer felhasználó alkalmazásjelszavairól van szó, amelyek ráadásul egyszerű szövegként szerepelnek az adatok között. Valamelyest enyhíti ugyanakkor a kockázatokat, hogy az At the Pool már 2014 óta nem működik, így a szivárgásban érintett felhasználók adatai is jó eséllyel aktualitásukat vesztették.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
Az UpGuard által felfedezett felhasználói adatokat az érintett cégek Amazon S3 bucketekben tárolták, amelyek tartalma minden esetben szabadon letölthető volt. A Cultura Colectivát a kutatók először idén január 10-én értesítették az ügy kapcsán, majd 14-én egy második emailben is figyelmeztették a céget az adatszivárgásról, ugyanakkor blogposztjuk szerint máig nem érkezett válasz a megkeresésekre. Ezt követően január 28-án a szakértők az Amazonnak is jelezték az ügyet, amely maga is értesítette az érintett bucket tulajdonosát, végül azonban csak a napokban vágta el a hozzáférést az adatoktól, miután a kutatók már nyilvánosságra hozták eredményeiket. Az At the Pool esetében ezzel szemben már azelőtt elérhetetlenné váltak a szóban forgó adatok, hogy a kutatók a nyomozást követően hivatalosan is értesíthették volna a felelősöket.
Az eset jól demonstrálja, hogy a Facebook, illetve felhasználói által felhalmozott hatalmas mennyiségű adat milyen könnyen kikerülhet a közösségi oldal ellenőrzése alól, ha azt harmadik felek veszik használatba, illetve kezdik monetizálni. Ahogy a szakértők is kiemelik, ilyen esetekben hiába volt a Facebook a platform amely begyűjtötte és felhalmozta adatokat, azok átvétele után már értelemszerűen az adott harmadik fél felel az információk biztonságáért, amit a vállalatok láthatóan hajlamosak elfelejteni. Miután a Facebook és a köré épülő alkalmazás-ökoszisztéma mára elképesztően szerteágazó, és távolról sem mondható átláthatónak, a felhasználóknak is érdemes kétszer is meggondolni, hogy melyik cégeknek szolgáltatják ki a közösségi oldalon tárolta adataikat, illetve az ott végzett tevékenységüket. Szerencsére a fenti esetben egyelőre nincs arra utal jel, hogy a nyilvánosan elérhető adatokkal visszaéltek volna, ugyanakkor legalább azoknak, akiknek az At the Pool neve ismerősen cseng, mindenképp érdemes jelszót változtatni, ha fennáll annak a lehetősége, hogy valahol még mindig az appban megadott azonosítót használják.