Súlyos biztonsági rést fedeztek fel a Facebook adatvédelmi rendszerében, amelyen keresztül kiszivároghatnak a felhasználók telefonszámai.
A Facebook „Elérhetőségek” beállításainál a felhasználók megadhatják a telefonszámukat is, és bár azonnal beállíthatják az „Only me” opcióval, hogy csak ők lássák ezt a későbbiekben, akad egy másik adatvédelmi beállítás, amely viszont gyakorlatilag kiadja a számot idegenek számára.
A „Hogyan lépsz kapcsolatba” adatvédelmi beállítás „Ki találhat meg a megadott e-mail címed vagy telefonszámod alapján?” pontjánál az alapértelmezett beállítás a „Mindenki”. Ennél még idegesítőbb az a tény, hogy egyáltalán nincs olyan opció, amellyel teljesen korlátozni lehetne a telefonszámot megtekinthetők körét. A választható variációk a „Mindenki”, az „Ismerősök ismerősei” és a legkorlátozottabb beállítás, az „Ismerősök”.
Ez a biztonsági hiba módot ad arra, hogy ismeretlenek is összegyűjtsék a telefonszámokat és felhasználóneveket.
Bár a rés felfedezője azonnal értesítette a Facebookot a problémáról, nem tűnt úgy, hogy a közösségi hálózat képviselői teljesen felfogták volna, hogy ez az adatvédelmi hiba milyen kockázatokat rejt. Mindössze annyit tettek, hogy rámutattak, a felhasználók maguk felelősek azért, hogy ne legyenek megtalálhatóak a telefonszámuk alapján.
A Facebook szerint annak esélye, hogy felhasználót bármilyen módon, akár telefonszámon keresztül megtalálják, csökkenthető az alkalmazások jogosultságainak korlátozásával, de a szakértő azt állítja, hogy ez a korlátozás könnyedén megkerülhető a mobilverzió használatával.
Hogy demonstrálja felfedezését, a kutató kifejlesztett egy szkriptet, amely képes kiolvasni és elmenteni véletlenszerű felhasználók nevét és telefonszámait. Mindössze 800 ilyen párosított adatot tett közzé, de véleménye szerint egy bűnöző egy nagyobb bothálózat segítségével az összes érintett ügyfél felhasználónevét és telefonszámát megszerezheti pár nap alatt. Számításai szerint úgy 500 millió Facebook-ügyfél lehet kitéve egy ilyen támadás veszélyének az alapértelmezett „Mindenki” beállítás miatt.
Egyébként pedig a hirdetők álma válna valóra azzal, hogy a telefonszámokat nevekhez kapcsolják, és egy ilyen lista nagyon sokat érhetne a feketepiacon.
A kutató szerint a bűnözők begyűjthetnék az egyes személyek adatait is adott területekről a telefonos körzetszámok alapján. Miután hiába továbbította a Facebook részére a biztonsági probléma részleteit, hogy befoltozhassák a rést, úgy döntött, hogy a nyilvánossághoz fordul.
Amíg a Facebook nem kezeli megfelelően a problémát és nem tesz lehetővé egy „Only me” opciót a szóban forgó beállításnál, addig a legtöbb, amit tehetünk, hogy csak az ismerősök számára tesszük elérhetővé telefonszámunkat.
Forrás: Softpedia
FRISSÍTÉS (2012. október 11.):
Miután az esetet felkapta a média, a Facebook kénytelen volt érdemben is reagálni. Sürgős fejlesztést eszközöltek, hogy meggátolják a keresési funkció rosszindulatú felhasználását: azon felhasználók, akik nagy tömegben kutatnak telefonszámok után (több százas nagyságrendről van szó) 24 órás kitiltást kapnak.
Reméljük ez elég lesz...
Forrás: Softpedia