Facebooku (opet) procurili privatni podaci korisnika
NAPOMENA: Tekst se odnosi na sigurnosni propust Facebook platforme koji je otkriven u aprilu 2011. i definitivno otklonjen novom verzijom Facebookovog sistema autorizacije aplikacija koja postaje obvezna za sve Facebook aplikacije s početkom septembra 2011.Imperativ je da čim prije promijenite šifru svog Facebook računa, čime će sigurnosni propust biti otklonjen.
Prije nekoliko dana Symantec je na svom blogu ustvrdio kako je Facebook nehotice omogućio trećim stranama (naglasak je na oglašivačima i sličnoj pošasti) pristup ne samo osobnim podacima korisnika, već i određene ovlasti na njihovim profilima. Konkretno, radi se o pristupu podacima na profilu, fotografijama, chatu, ali i pristupu zidu (s mogućnosti postavljanja poruka na zid). Symantec navodi kako je o svemu obaviješten Facebook čiji su inžinjeri poduzeli korake u otklanjanju problema i naglašava kako ne vjeruju da je propust eksploatiran.
Appz
Problem predstavljaju Facebook aplikacije, komadi koda koje svi volimo. Kvizovi, igrice, razbibrige. Facebook apps su integrirane u Facebook platformu i jako (JAKO) su popularne (Farmwille?). Barata se brojkom od nekih 20ak miliona Facebook aplikacija koje su na raspolaganju korisnicima.
Facebook button count is wrong, use RealShare by birgerking
Sigurno jedan od razloga tolike popularnosti ovih aplikacija, pored magične trivijalnosti, je to što znaju toliko toga o nama i našim prijateljima s kojima nas rado povezuju. To znanje crpe s našeg profila, a da bi mu mogle pristupiti traže naše odobrenje, tj. ključ našeg profila. Tehničkiji pojam je žeton (token) koji može biti privremeni (istječe nakon nekog vremena, ili na kraju korisnikove aktivne sesije na Facebooku – logout?), ali i permanentni (u slučaju da aplikacija traži offline access) koji istječu samo ukoliko korisnik izričito zabrani pristup toj aplikaciji (‘ukloni je sa svoga profila’) ili promijeni šifru svog Facebook računa (otud preporuka s početka teksta). Smisao cijele priče je po želji omogućiti aplikaciji da u ime korisnika pristupa njegovim podacima ili djeluje umjesto njega (npr. objave na zidu). Ovlasti pojedinog tokena ograničene su na ovlasti koje je korisnik dao aplikaciji kojoj je token izdan.
U teoriji zvuči jako dobro, i dobro funkcionira. Izuzev što postoji sigurnosni propust. Symantec procjenjuje da je u aprilu 2011. oko 100.000 aplikacija trećim stranama otkrivalo podatke o korisnicima, a da je od 2007. naovamo, otkako je Facebook predstavio svoju apps platformu, na stotine hiljada aplikacija pružalo uvid u podatke miliona korisnika. Stvar je vrlo ozbiljna i mada je razumljivo da Facebook izbjegava o ovome govoriti, čudi me kako mainstream mediji još nisu objavili priču.
Curkom cure privatni podaci
Facebook koristi protokol za autorizaciju pod nazivom OAuth i koji je na Internetu jako popularan i često korišten u situacijama kada se želi dati ograničeni pristup vlastitoj usluzi (npr. koristi ga Twitter). U facebooku trenutno migriraju na OAuth 2.0 koji je siguran, ali još relativno nov. Zbog velikog broja aplikacija Facebook ne može samo tako zabraniti pristup starim metodama autorizacije (iz pre-OAuth vremena), jer bi u tom slučaju mnoge aplikacije prestale raditi. Obzirom koliko popularnosti Facebook duguje upravo tim aplikacijama, razumljivo je da oklijeva da ih onesposobi. Na nesreću, upravo one predstavljaju problem.
Kako kažu u Symantecu, u nekim situacijama Facebook može aplikaciji poslati zahtjev u čijem je sadržaju i predmetni token – ključ o kojem je maloprije bilo govora. Taj token tada postaje dio URLa (adrese) stranice koja se trenutno prikazuje. Obzirom da mnoge aplikacije prikazuju oglase (ili koriste neke od analitičkih usluga prikupljanja statističkih podataka o posjećenosti) koje ‘povlače’ sa servera trećih strana, taj URL biva zabilježen na serveru oglašivača sa kojeg je reklama ‘pokupljena’ (jer je to adresa na kojoj se dotična reklama prikazuje). Posljedično, biva zabilježen i token, i eto nam našeg problema.
Problemi tek počinju
Kao što sam već spomenuo, koliko se zna, do sada nije bilo zloupotreba. No imajmo na umu da je dio problema u permanentnosti tokena koji su razasuti po log datotekama širom Interneta. Samo je pitanje vremena kada će se naći poduzetan neko koji će ih sakupiti u većem broju i krenuti u data mining operacije, pogotovo sada kada se za propust zna – to što nema publiciteta ne znači da loši momci za propust ne znaju, nije da o ovakvim stvarima saznaju gledajući Dnevnik. Facebook je preduzeo korake da ispravi problem (konačno rješenje stiže tek 1.9. – ovo je ujedno rok do kada Facebook aplikacije moraju implementirati željno iščekivanu HTTPS podršku), ali pravog trenutnog rješenja s njihove strane nema. Aplikacije više ne odaju tokene, ali tokeni koji su završili na serverima trećih strana svih ovih godina i dalje su itekako valjani i mogu se zloupotrijebiti.
Zaključak? SVI KORISNICI FACEBOOKA MORAJU PROMIJENITI ŠIFRU SVOG RAČUNA! ODMAH!!! Moguće je i ukinuti pristup aplikacijama, pa im to ponovno omogućiti (ako želite), ali promjena šifre je sigurno i elegantno rješenje problema. Osim toga, ionako nije zgoreg promijeniti šifru s vremena na vrijeme.
Facebook stream hub by javier.reyesgomes
Također, morate dobro paziti na linkove na koje klikate na Facebooku. Obzirom da postaje relativno trivijalno dokopati se tokena koji omogućava objavu sadržaja na zidu, sada je jednako trivijalno na tom istom zidu ostaviti link na stranicu sa malwareom koji samo čeka neoprezne korisnike.
Kao što možete vidjeti, ovo je potencijalno vrlo krupan problem (stvar je gotovo loša koliko i situacija s Firesheepom od zimus), a publiciteta, kao ni adekvatnog odgovora od strane Facebooka nema. Korisnici imaju pravo na zaštitu svojih podataka, i to odmah, a ne 1.9. Koliko će ljudi samoinicijativno promijeniti šifru svog Facebook računa? Facebook bi svakako mogao invalidirati sve sporne tokene, ali zamislite tek onda frke kada svakom korisniku sve aplikacije odjednom budu ponovno tražile prava pristupa profilu.
Ne smijem ni pomisliti koliko još ima sličnih propusta, a da o njima nemamo pojma, jer ovo što čujemo najvjerojatnije je samo vrh ledenog brijega. Ideja povjeravanja hrpe osobnih podataka cloudu postaje sve manje primamljiva svakim sigurnosnim propustom.
Na kraju, ne mogu a da se ne nasmijem izjavi koju je prenio PCMAG.com:
“We’ve conducted a thorough investigation which revealed no evidence of this issue resulting in a user’s private information being shared with unauthorized third parties,” Facebook said in a statement. “In addition, this report ignores the contractual obligations of advertisers and developers which prohibit them from obtaining or sharing user information in a way that violates our policies.”
Umjesto da brine o tehnologiji zaštite privatnosti stotina miliona svojih korisnika, Facebook se busa u ‘ugovorne obaveze’… Znate, uvjeti korištenja Facebooka izričitu zabranjuju krađu podataka njegovih korisnika, jer je to kršenje korisničkog ugovora koji svi koji pristupaju Facebooku moraju poštivati. Kao da je one koji kradu podatke briga za Facebookove uslove korištenja…
Podsjećam kako ovo nije prvi put kao se Facebook aplikaciju pokazuju kao problematične s aspekta korisničke privatnosti: u oktobru prošle godine aktualna je bila priča kako neke od najpopularnijih Facebook aplikacija dijele osobne podatke korisnika s marketinškim agencijama i oglašivačima (izvor), što je pobudilo interesovanje američkog Kongresa (za razliku od aktualnog nehotičnog potencijalnog otkrivanja podataka, tada se to radilo svjesno). Nakon blamaže koju si je nedavno priredio Apple s praćenjem baznih stanica i WiFi pristupnih tački na koje se priključuju korisnici iPhonea, što se svodi na praćenje kretanja korisnika (pokazalo se da je slično radio i Googleov Android), američki Senat organizirao je ‘saslušanje’ čelnih ljudi obje kompanije. Indikativno je da je naredno saslušanje zakazano za koji dan, a ovoga puta pozvani su i ljudi iz Facebooka.
Slike:
- naslovna – Facebook stream hub by javier.reyesgomez
- Facebook count button is wrong, use RealShare by birgerking
