Novi bezbednosni propusti: podaci o stotinama miliona korisnika Fejsbuka javno dostupni

Novi bezbednosni propusti: podaci o stotinama miliona korisnika Fejsbuka javno dostupni

Podaci više od 500 miliona korisnika Fejsbuka bili su javno dostupni na Amazon S3 klaud serverima, utvrdio je tim istraživača kompanije UpGuard. Reč je o setovima podataka iz takozvanih Fejsbuk aplikacija trećih strana (third-party apps). Naime, jedna baza veličine 146 gigabajta, koja je pripadala meksičkoj kompaniji Cultura Collectiva, sadržala je informacije o lajkovima, reakcijama, komentarima, imenima naloga i korisničkim identifikatorima (Facebook ID) za 540 miliona korisnika. Druga baza podataka potekla je iz aplikacije “At the Pool” i sadržala je informacije poput imena korisnika, Fejsbuk identifikatora, mejl adresa, ali i nezaštićene lozinke 22.000 korisnika. Kako su istraživači naveli, pretpostavka je da su te lozinke korišćene za samu aplikaciju, te da su u najvećoj opasnosti korisnici koji koristili iste šifre za više naloga.

Zaštićen prikaz podataka korisnika Fejsbuka iz “At the Pool” baze podataka. Izvor: UpGuard.

 

UpGuard istraživači su kontaktirali kompaniju Cultura Collectiva mejlom još u januaru ove godine kako bi ih upozorili, ali nisu dobili odgovor na dva poslata mejla. Zatim su dva puta obavestili Amazon o ovom bezbednosnom propustu, od koga su prvo dobili odgovor da je vlasnik klauda obavešten, a kasnije da će razmotriti druge načine za potencijalno rešenje. Kopija baze na Amazon S3 klaudu je bila obezbeđena tek pošto je sajt Blumberg kontaktirao Fejsbuk za komentar o propustu, što se dogodilo 3. aprila ujutru. Aplikacija “At the Pool” je prestala sa radom još 2014. godine i podaci su tokom istraživanja postali nedostupni. Pretpostavka je da je kompanija koja je razvila aplikaciju ugašena.

Prikaz podataka iz Cultura Collectiva baze podataka. Izvor: UpGuard.

 

Ove baze podataka su sadržale ogroman broj podataka o ličnosti korisnika Fejsbuka, što uključuje njihova interesovanja, društvene odnose i interakcije. Obzirom da Fejsbuk deli podatke korisnika sa milionima developera raznih aplikacija, čime praktično gubi kontrolu nad ogromnim količinama podataka, mogućnosti za zloupotrebe i bezbednosne propuste su velike, naročito kada se baze sa kritično osetljivim podacima čuvaju na javno dostupnim onlajn resursima.

Zaštićen prikaz podataka iz Cultura Collectiva seta podataka. Izvor: UpGuard.

 

Video “Dijalog o Fejsbukovom algoritmu” govori o tome koliko zapravo Fejsbuk prikuplja, analizira i čuva podataka o ličnosti i pokušava da mapira te procese u “crnoj kutiji”, koja predstavlja najveću algoritamsku fabriku.