Facebook ignoreeris haavatavust, mis lekitas miljoneid kasutajate e-posti aadresse
Facebooki meiliotsingu v1.0 tarkvara tsenseeritud pilt. Ars Technica
Häkkerid kasutavad tarkvara nimega Facebook Email Search v1.0, et avastada miljoneid Facebooki kasutajate e-posti aadresse, isegi kui need aadressid on seatud privaatseks. Need kasutajaandmed koos 533 miljoni telefoninumbriga, mis Facebookist vaid paar nädalat tagasi lekkisid, võivad aidata häkkeritel kontodele sisse murda või luua Facebooki kasutajate privaatse teabe andmebaasi.
Facebooki meiliotsing v1.0 kasutab ära Facebooki veebisaidi esiotsa haavatavust. See seob kasutaja ID-d automaatselt nendega seotud e-posti aadressiga, võimaldades ühel häkkeril kaitsta umbes 5 miljonit e-posti aadressi päevas. Facebook ütleb, et see parandas peaaegu identse haavatavuse selle aasta alguses, kuigi probleem on selgelt lahendamata.
Vestluses Ars Technicaga väidab üks nimetu teadlane, et demonstreeris Facebookile ärakasutamist, kuid sotsiaalmeedia hiiglane otsustas seda probleemi ignoreerida. Facebook ütles teadlasele, et ta "ei pea [haavatavust] lappimiseks piisavalt oluliseks", hoolimata asjaolust, et see on selge turvarisk ja kasutajate privaatsuse rikkumine.
Kas olete kahekordseks võitluseks valmis? Facebook mitte ainult ei ignoreerinud haavatavust, vaid julgustab aktiivselt oma suhtekorraldajaid andmetega seotud rikkumisi pisendama ja normaliseerima. Pärast 5 aprilli telefoninumbri leket kogemata Data Newsi ajakirjanikele saadetud Facebooki sisemeilis öeldakse järgmist:
PIKAAJALINE STRATEEGIA: eeldades, et ajakirjanduse maht väheneb jätkuvalt, ei plaani me selles küsimuses täiendavaid avaldusi. Pikemas perspektiivis ootame siiski rohkem kraapimisjuhtumeid ja arvame, et on oluline käsitleda seda laia valdkonna probleemina ja normaliseerida tõsiasja, et see juhtub regulaarselt. Selleks pakub meeskond välja järgmise paari nädala jooksul postituse, mis räägib laiemalt meie kraapimisvastasest tööst ja annab suurema läbipaistvuse selles valdkonnas tehtava töö mahu osas. Kuigi see võib kajastada olulist kraapimistegevust, loodame, et see aitab normaliseerida selle tegevuse jätkumist ja vältida kriitikat, et me ei ole konkreetsete juhtumite puhul läbipaistvad.
Sadade miljonite Facebooki kasutajate privaatne teave on sel kuul sattunud kahe veebisaidi haavatavuse tõttu. Ja pidades silmas seda "märkimisväärset kraapimistegevust", loodab Facebook lekkeid normaliseerida ja tunnistab, et andmekogud "jätkuvad". Veebisaidi jaoks, mis on kinnisideeks kasutajaandmete kogumisest, on Facebooki hooletus suur punane lipp.
Facebook teatab nüüd, et ta "sulges selle veateate ekslikult enne vastavasse meeskonda suunamist" ja uurib praegu probleemi. Pole selge, millal ettevõte selle haavatavuse tegelikult parandab või kui palju kontosid see on mõjutanud. Samuti pole teada lekkinud kasutajaandmete praegune mõju.
Allikas: Ars Technica, Data News