Otkriven propust koji omogućava prikupljanje podataka korisnika Facebooka na osnovu mobilnih brojeva

Društvene mreže, 10.08.2015, 08:20 AM

Stručnjaci za bezbednost pozvali su Facebook da poboljša svoja podešavanja privatnosti pošto je inženjer softvera Reza Moaiandin uspeo da prikupi informacije o hiljadama korisnika pogađajući brojeve njihovih mobilnih telefona.

Moaiandin je uspeo da dođe do imena, slika profila i lokacija korisnika koji su svoje mobilne brojeve povezali sa Facebook nalogom.

Na sreću, on je odlučio da ovako prikupljene informacije ne objavljuje javno.

Stručnjaci za bezbednost upozoravaju da ovaj bezbednosni propust može omogućiti hakerima da naprave ogormnu bazu podataka korisnika Facebooka koje bi prodavali na crnom tržištu.

Moaiandin je iskoristio manje poznato podešavanje privatnosti koje omogućava da bilo ko pronađe korisnika Facebooka pomoću njegovog broja telefona.

Po defaultu, opcija “Who can find me?” je podešena na “Everyone/public”, što znači da svako može naći bilo kog korisnika pomoću njegovog mobilnog broja. To je podrazumevano podešavanje osim ako korisnik odabere da ukloni svoj broj telefona sa javnog profila.

Uz pomoć jednostavnog algoritma, Moainadin je generisao desetine hiljada mobilnih brojeva i zatim poslao te brojeve Facebookovom API, alatu koji omogućava programerima da naprave aplikacije povezane društvenom mrežom. Za samo nekoliko minuta, Facebook mu je poslao na mnoštvo korisničkih profila.

Sve informacije do kojih je došao Moaiandin su javno dostupne, ali mogućnost povezivanja profila sa mobilnim brojevima u tako velikom obimu, ostavlja prostor za zloupotrebu sistema.

Stručnjaci kažu da bi Facebook trebalo da oteža trećim stranama da koriste mogućnost skupljanja javno dostupnih informacija koje pripadaju korisnicima društvene mreže.

Moaiandin koji je tehnički direktor firme Salt.agency, uporedio je ovo sa situacijom kada bi neko mogao da uđe u banku, zatraži podatke o nekoliko hiljada klijenata na osnovu brojeva bankovnih računa koje ima, i da mu banka u tom slučaju odgovori tako što će mu dati privatne podatke svojih klijenata.

Moaiandin je upozorio Facebook na ovaj propust još u aprilu preko Facebookovog programa za nagrađivanje onih koji kompaniji prijave bagove, a zatim je to uradio još jednom, 28. jula, kada je dobio odgovor od Facebookovog inženjera za bezbednost. On mu je rekao da oni to ne smatraju propustom, ali da imaju sredstva da prate i spreče eventualne zloupotrebe. Iz Facebooka su rekli da oni imaju stroga pravila koja ograničavaju programere kada je u pitanju korišćenje API, i da preduzimaju mere protiv svih koji prekrše ta pravila.

Moaiandin je pozvao Facebook da primeni enkripciju, kao što su to uradili Apple i Google, kako bi se sprečilo da se do korisničkih podataka dolazi na ovakav način.

Portparolka Facebooka je rekla da je njima privatnost ljudi koji koriste Facebook izuzetno važna i da zbog toga oni koriste vrhunske alate za monitoring i otkrivanje sumnjivog ponašanja kako bi osigurali bezbednost podataka. Kada je reč o programerima, oni mogu da pristupe samo onim informacijama za koje su korisnici odlučili da budu javno dostupne.

“Svi koji koriste Facebook imaju kontrolu nad informacijama koje dele”, kažu iz Facebooka podsećajući da je korisnicima dostupan alat Privacy Basics koji ima niz korisnih vodiča koji nude objašnjenja o tome kako korisnici mogu brzo i lako odlučiti koje informacije žele da dele i sa kim žele da dele te informacije.