23/05/2019

10 największych wpadek Facebooka

Prywatność

W maju tego roku Mark Zuckerberg obchodził swoje 35 urodziny. Oczywiście życzymy mu wszystkiego najlepszego! Człowiek ten wiele przeszedł, aby znaleźć się tu, gdzie jest. Musiał m.in. stawić czoła śledztwu federalnemu, którego celem było znalezienie dowodów umożliwiających obarczenie go odpowiedzialnością za niewłaściwe zarządzanie prywatnymi danymi użytkowników, gdy na jaw wyszły skandale związane z Facebookiem. W dzisiejszym poście zebraliśmy 10 najbardziej znanych afer związanych z Facebookiem, których tematem przewodnim było nadużycie danych.

  1. Cambridge Analytica — jak to wszystko się zaczęło

Wszystko zaczęło się od wybuchu skandalu z firmą Cambridge Analytica. Na początku 2018 roku po raz pierwszy mieliśmy 100% pewność, że dane i opinie, które udostępniamy w serwisie Facebook, mogą być wykorzystywane przez inne firmy bez naszej zgody. Incydent zgromadzenia przez firmę Cambridge Analytica danych należących do 50 milionów użytkowników Facebooka oraz wykorzystania ich do agitacji politycznej mocno wstrząsnął całym światem, jednak był to dopiero początek. Więcej informacji na ten temat znajdziesz w naszym poście.

  1. Skradzione tokeny Facebooka

Pół roku później wybuchł kolejny skandal z Facebookiem w tle: ktoś wykorzystał luki w tym serwisie i ukradł tokeny dostępowe (odpowiedniki kluczy cyfrowych, dzięki którym użytkownicy pozostają zalogowani) należące do milionów użytkowników Facebooka.

Łącznie skradziono tokeny należące do 30 mln użytkowników. W przypadku 15 milionów atakujący uzyskali dostęp do ich imion i nazwisk oraz informacji kontaktowych. W 14 mln przypadków zdołali poznać bardziej szczegółowe informacje oraz uzyskali dostęp do historii aktywności tych osób na Facebooku. Dla pozostałego miliona osoby te nie uzyskały dostępu do żadnych informacji. To właśnie wtedy użytkownicy Facebooka zorientowali się, że nie jest odpowiednio zabezpieczony, a ich konta mogą zostać skradzione masowo, bez ich udziału.

  1. Narażenie haseł serwisu Facebook i Instagram

Jeśli kradzież obejmująca 30 milionów tokenów kogoś nie przeraża, może wrażenie zrobi na nim kolejny incydent, który dotknął setek milionów użytkowników serwisów Facebook i Instagram. Na początku 2019 roku Facebook dał do zrozumienia, że jego wewnętrzne procesy odpowiedzialne za ochronę danych użytkowników są dalekie od ideału. Firma przyznała, że część haseł do kont Facebooka i Instagramu przechowywała w postaci niezaszyfrowanego tekstu. Podobno hasła te były widoczne tylko dla pracowników i nikt nie naruszył ich uprawnień dostępowych.

Na tę chwilę dokładna liczba użytkowników, których ta sytuacja dotyczyła, nie została ujawniona. Najpierw firma stała na stanowisku, że błąd ten dotyczył setek milionów użytkowników aplikacji Facebook Lite, dziesiątek tysięcy zwykłych użytkowników Facebooka, a także dziesiątek tysięcy użytkowników Instagrama. Miesiąc później poinformowano jednak, że problem (został już wyeliminowany) dotknął nie dziesiątek tysięcy, ale milionów użytkowników Instagrama.

  1. Bezpieczeństwo haseł do Instagrama ponownie zagrożone

Tak naprawdę nie pierwszy raz użytkownicy serwisu Instagram dowiedzieli się, że ich hasła mogły wyciec. Kilka miesięcy wcześniej odkryto, że funkcja Instagrama o nazwie „Pobieranie danych” zawiera lukę w zabezpieczeniach (została już załatana), która mogła przypadkowo ujawnić część haseł do tego serwisu. Jeśli ktoś podał swoje dane logowania w celu skorzystania z tej funkcji, jego hasło zostało umieszczone w adresie przeglądarki i — znów — przechowywane na serwerach Facebooka w postaci niezaszyfrowanego tekstu.

  1. Facebook żądał haseł e-mail i gromadził kontakty

Facebook gromadził kontakty z poczty e-mail 1,5 mln użytkowników bez ich zgody. W rzeczywistości sytuacja była nieco bardziej skomplikowana: sieć społecznościowa prosiła pewną grupę nowych użytkowników o zweryfikowanie swojej tożsamości poprzez podanie haseł do swoich kont poczty e-mail. Gdy informacja ta przedostała się do szerszej publiki, wiele osób pomyślało, że był to primaaprilisowy żart — przecież żaden doświadczony użytkownik internetu nie ujawniłby podmiotowi zewnętrznemu hasła dostępu do swojej korespondencji w skrzynce elektronicznej. Niestety nie był to żart, a prośbę spełniło wiele osób.

Facebook przekonywał, że nie miał dostępu do zawartości wiadomości e-mail użytkowników, lecz — przypadkowo — zebrał ich kontakty. Łącznie książki adresowe należały do 1,5 mln użytkowników. Jednak biorąc pod uwagę fakt, że każda z list kontaktowych może zawierać setki rekordów, ostateczna liczba osób, których informacje kontaktowe uzyskano w ten sposób, może wynieść nawet dziesiątki milionów. Firma twierdzi, że użyła tych danych w celu jeszcze lepszego dopasowywania reklam, tworzenia sieci połączeń społecznych na Facebooku i polecania użytkownikom nowych znajomości.

  1. Autoryzacja dwuetapowa przy użyciu Facebooka, narzędzie dla reklamodawców

Oczywiście wszyscy chcemy, aby nasze konta były bezpieczne, a autoryzacja dwuetapowa wydaje się tu idealnym sposobem na zapewnienie ochrony. Ale nawet tu mogą powstać potencjalne problemy. Na przykład numer telefonu podany podczas włączania autoryzacji dwuetapowej dla Twojego konta na Facebooku zostanie automatycznie skojarzony z Twoim profilem — bez opcji rezygnacji. W efekcie każda osoba, bez względu na to, czy ma konto, może wyszukać Twój profil na podstawie tego numeru telefonu. Bonus: Facebook może również dopasowywać reklamy do tego numeru.

  1. Twoje kontakty nigdy nie są chronione przed reklamodawcami

Jak wspomnieliśmy powyżej, Facebook i Instagram dawali reklamodawcom dostęp do informacji kontaktowych, których użytkownicy nawet nie przechowywali na swoich kontach w serwisie Facebook (!). Inaczej mówiąc, reklamodawcy mogli (i pewnie nadal mogą) dopasowywać do nas reklamy, wykorzystując do tego nie tylko adresy e-mail i numery telefonów, które wskazaliśmy na swojej stronie zawierającej informacje podstawowe i kontaktowe, ale także inne dane.

Wśród danych tych może znajdować się numer telefonu, który został podany do celów autoryzacji dwuetapowej, oraz adres e-mail, podany do wysyłania informacji o promocjach lub tajnych zakupów w internecie. Ponadto, jeśli któryś z Twoich kontaktów wybierze opcję udostępniania („synchronizacji”) swoich kontaktów z Facebookiem lub prześle swoją książkę adresową do Facebooka — w celu „znalezienia znajomych” — a ich liście kontaktowej znajdował się Twój numer telefonu, to nawet jeśli nigdy nie podawałeś nigdzie tej informacji na Facebooku, reklamodawcy będą mogli wyświetlać Ci dopasowane reklamy przy użyciu tego numeru telefonu.

  1. Więcej danych z Facebooka udostępnianych reklamodawcom

Jak ujawnił pewien dokument wewnętrzny, który wyciekł, Facebook udostępniał dane użytkowników także podczas kontaktów z firmami, z którymi miał podpisaną umowę partnerską. Na przykład firma Amazon.com, która wydała wiele na reklamy na Facebooku, mogła poznać imiona i nazwiska użytkowników oraz ich adresy e-mail poprzez ich znajomych (podobnie jak mogło to robić Sony, Microsoft i wiele innych firm).

Wyszukiwarka Bing od Microsoftu miała dostęp do imion i nazwisk dosłownie wszystkich Twoich znajomych na Facebooku bez Twojej (i ich) zgody. Netflix, Spotify i Royal Bank of Canada miały uprawnienia odczytu, zapisu i usuwania naszych prywatnych wiadomości, a także dostęp do wszystkich uczestników w wątku. Urządzenia Apple miały dostęp do numerów kontaktów i wpisów w kalendarzu nawet tych osób, które zmieniły ustawienia swojego konta i całkowicie wyłączyły udostępnianie.

Wspomniane firmy oświadczyły, że nigdy nie nadużyły danych, do których miały dostęp, a niektóre przyznały, że nawet nie wiedziały, że miały tak „rozszerzone” uprawnienia.

  1. Facebook Marketplace udostępniał dokładne lokalizacje sprzedawców

Luka (jeszcze niezałatana) w opcji Marketplace serwisu Facebook ujawniała dokładną lokalizację sprzedających (precyzyjne współrzędne geograficzne), a także oferowane przez nich towary. Aby poznać lokalizację, nie trzeba było logować się do Facebooka, przez co niektórzy badacze nazwali ten błąd „listą zakupową dla złodziei”. Było to szczególnie niewygodne dla osób, które sprzedawały drogie rowery: z uwagi na to, że są one łakomym kąskiem dla przestępców, można powiedzieć, że usługa Marketplace wręcz rozdawała im te rowery, udostępniając lokalizację sprzedawców.

  1. Dane z Facebooka ujawnione — przed podmiot zewnętrzny

Dwie bazy danych zawierające informacje o użytkownikach serwisu Facebook zostały znalezione na otwartej stronie internetowej. Zawierały one informacje w postaci niezaszyfrowanego tekstu, dzięki czemu absolutnie każda osoba mogła uzyskać do nich dostęp i pobrać je. Jeden z zestawów danych pochodził z aplikacji do gry na Facebooku, o nazwie „At the Pool”, która od dawna jest nieużywana. Drugi zestaw, zawierający ponad 540 milionów rekordów, należał do Cultura Colectiva, wydawcy medialnego z Meksyku działającego na terenie Ameryki Łacińskiej. Obie ujawnione bazy danych zawierały imiona i nazwiska oraz adresy e-mail użytkowników, listę ich znajomych, polubień, komentarzy i wszelkie szczegóły, które umożliwiały analizę preferencji i zainteresowań.

Chociaż informacje te nie były jakoś szczególnie wrażliwe, a personel Facebooka nie miał nic wspólnego z tym incydentem, to kolejna sytuacja, która daje do myślenia odnośnie udostępniania danych użytkowników firmom trzecim przez Facebooka, co miało odzwierciedlenie w skandalu z Cambridge Analytica, od którego rozpoczęliśmy ten post.

Jeśli po przeczytaniu tego posta czujesz, że masz dość wpadek Facebooka, zobacz wskazówki, jak usunąć swoje konto. Oczywiście decyzja ta zależy wyłącznie od Ciebie.