8 сентября 2019

Беседка 256. Facebook. Плохие новости — опять

Считается, что чем больше и известнее компания, хранящая ваши данные, тем меньше у вас поводов беспокоиться о сохранности этих данных, тем более если «я обычный человек, кому я могу быть интересен», или нет?

Оригинальный материал, автор – Джейсон Атон

Прошло около недели с тех пор, как пользователи Facebook получили плохие новости, что, скорее всего, было неизбежно. Я не хочу показаться слишком резким, но давайте будем честны: у Facebook есть проблема с сохранением вашей личной, частной информации. На самом деле, насколько мне известно, правда в том, что компания согласилась заплатить 5 миллиардов долларов, чтобы урегулировать расследование по этому самому обвинению.

Только мы подумали, что Facebook миновала последний скандал, как узнаем, что 419 миллионов телефонных номеров и идентификаторов пользователей были изъяты с сайта и сохранены в незащищенной базе данных. Из них 133 миллиона номеров и идентификаторов принадлежат пользователям из США. Чтобы быть правильно понятым, под «незащищенным» я имею в виду, что база данных даже не была защищена паролем.

Это стало известно со слов издания Techcrunch, которое предупредил исследователь безопасности по имени Саньям Джейн, первым и обнаруживший этот источник информации в Интернете. Данные, по-видимому, были изъяты более года назад, поскольку Facebook больше не позволяет разработчикам получать доступ к телефонным номерам пользователей. Это означает, что база данных могла пролежать «под открытым небом» в течение года, доступная любому, кто мог случайно ее найти.

Facebook через своего представителя заявляет, что «данные были удалены, и мы не нашли никаких доказательств того, что учетные записи Facebook были скомпрометированы». Это хорошая новость, но, честно говоря, не очень. Тем более что исследователь безопасности и Techcrunch не смогли выяснить, кому принадлежала база данных, когда она была изъята, или для чего она могла быть использована.

На данный момент реальная проблема не в том, что плохой парень что-то сделал с информацией, а в том, что одно и то же происходит в Facebook снова, снова и снова. И если это так, то вы официально зашли на территорию «у нас есть проблемы».

И это серьезная проблема. Далее в отчете Techcrunch объясняется, что:

Этот последний инцидент раскрыл миллионы телефонных номеров пользователей только по их идентификаторам в Facebook, подвергая их риску спам-звонков и атак с подменой SIM-карты с помощью обмана операторов сотовой связи через предоставление злоумышленнику номера телефона человека. Используя чужой номер телефона, злоумышленник может принудительно сбросить пароль для любой учетной записи в Интернете, связанной с этим номером.

Давайте разберемся в этом. Любой, кто получал доступ к этой базе данных, теоретически мог обмануть Verizon или T-Mobile, сделав подмену вашего номера телефона на своем устройстве. Как только это сделано, можно инициировать попытку «сброса пароля» для любой службы, связанной с этим номером телефона, включая другие социальные сети и даже учетную запись банка. Сообщается, что на прошлой неделе генеральный директор Twitter Джек Дорси был взломан.

Вы можете пытаться утверждать, что это не так уж и важно, поскольку фактическое нарушение произошло какое-то время назад, поэтому не совсем справедливо предъявлять это Facebook. За исключением того, что сотни миллионов людей раскрыли свою личную информацию неизвестно когда, и кто знает, где эта информация могла быть использована.

Даже если Facebook не знает, произошла ли утечка этой информации, это не означает, что ее на самом деле не было или что она не произойдет в будущем. И в лучшем случае, даже если это лишь небрежность того, кто собирал информацию, когда разработчики могли это делать, это все равно напоминает нам о том, что все, что вы выкладываете на Facebook, не является конфиденциальным.

Очевидно, то, что происходит в Facebook, не остается в Facebook, и это общая проблема.

Оригинальный материал, автор – Джейсон Атон

Возможно, что подобное отношение к данным пользователей — норма для всей индустрии, а случай с Facebook привлек внимание и стал достоянием общественности лишь благодаря пристальному вниманию к компании со стороны заинтересованных лиц, включая представителей сферы цифровой безопасности.

Тогда стоит задаться вопросом о том, можно ли доверять другим сервисам компании, например, популярному мессенджеру WhatsApp, которым ежедневно пользуются миллионы людей не только в США, но и во всем мире. А что насчет недавно анонсированного мессенджера в также принадлежащем компании Instagram? Стоит ли начинать им пользоваться?

Да, все это касается Facebook, но какова вероятность того, что завтра в сети не обнаружится незащищенная база пользователей любой другой социальной сети или мессенджера?

Все это не может не тревожить и заставляет задуматься над тем, какие данные мы доверяем социальным сетям, мессенджерам и облачным хранилищам и стоит ли это делать. Ведь если такие утечки происходят даже у огромной корпорации, которая, казалось бы, должна гарантировать безопасность, то как обстоят дела в небольших компаниях, не имеющих таких огромных бюджетов, направленных на безопасность и сохранение данных своих пользователей?

Читайте также

40 комментариев на «“Беседка 256. Facebook. Плохие новости — опять”»

  1. Dmitry R:

    Самое смешное, что эта дырявая токсичная помойка собирается запускать свою валюту и заниматься еще и финансовыми трансакциями. Интересно, какой дурак доверит фейсбуку хоть копейку?

    • Lecron:

      Думаете они дырявее любых других систем электронных денег? Например наших киви, вебмани, яденьги.

      • Dmitry R:

        Кто дырявее, можно заключить только после всестороннего аудита и анализа. Но есть такое понятие, как репутация, после всех утечек и скандалов у фейсбука она не очень.

        • Lecron:

          Согласен. Но тут вступают в дело масштабы.
          Если пользователей условных вебманей в 1000 раз меньше, для аналогичной репутации уровень скандала и количество утекших данных, должно быть аналогично меньше. Т.е. _малейшее_ негативное упоминание, разрушит репутацию навсегда.)))

          • Dmitry R:

            Ну, тот же вебмани, если я правильно помню, изначально строил сервис э-денег, что подразумевает аккуратное отношение к безопасности. А тут социальная сеть, творящая с данными пользователей, что хочет, решает вдруг заняться финансами. 🙂

  2. Александр:

    Вот поэтому-то и Телеграм.

    • Unplayed:

      И он не панацея, там тоже надо включать двухфакторную аутентификацию, без неё дыра дырой.

  3. DIYW:

    «Я не хочу показаться слишком резким, но давайте будем честны: у Facebook есть проблема с сохранением вашей личной, частной информации. »

    У какой соц. сети таких проблем нет? Наши личные данные текут изо всех дыр, от операторов и от банков и от миллиона других мест. Купить выписки на соответствующих форумах можно вообще бех проблем. Чего тогда ожидать от соц. сетей?

  4. James Bond:

    Никогда не был зарегистрирован на FB и не жалею. Люди которые там регистрировались и продолжают сидеть после всех звоночков заслуживают того чтобы с ними так обращались.

    • Макс Любин:

      Увы, но б часть цивилизованного и не очень мира использует Facebook, а про VK и, прости господи, Одноклассники они не слышали… То есть у них и выбора то особо нет, плюс исторически так сложилось, что лицокнига используется не только в личных, но и в рабочих коммуникациях. Так что тяжко им. Да и наши деловые круги из-за этого вынуждены использовать Facebook, так как многих западных партнёров можно найти именно там.

      • Lecron:

        Любопытно, а где сидят китайские пользователи, с их контролируемым интернетом? А китайский бизнес?

      • Черногор:

        Человек наверняка писал про все соцсети вкупе… ненужная это хрень, пардон мой французский.

        «Сынок, Грегори, представь , что я фейсбук, поделись со мной своими проблемами» (с) ?

        Для простого человека (исключим случаи по работе) , соцсети — зло абсолютное

  5. Nikolay Milyaev:

    У меня появилась такая мысль, что в связи с распространением адресов IPv6 в будущем распространение должны получить распределённые приложения, основанные на прямой связи между пользователями (в IPv4 возможности прямой связи ограничены). Нужно позвонить или отправить сообщение? подключился по IP своего собеседника (или через DNS-имя) и звони или пиши, можно даже шифровать данные, которые нигде не останутся. Нужно сделать страничку в соцсети, чтобы рассказать о своих взглядах и увлечениях? Разместите сайт на своём телефоне, компьютере или выделенном сервере, чтобы он был постоянно доступен (нужно предусмотреть общие распределённые идентификаторы пользователей, типа адресов эл. почты), чтобы пользователь, зареганный на одном домене, мог оставлять комментарии под своим именем на всех сайтах сети.
    Тогда за сохранность данных пользователя будет отвечать только сам пользователь, а не непонятные фейсбуки, контакты, твиттеры и т.д.
    Протокол IPv6 уже набирает распространение, из наших операторов его поддерживает МТС.

    • Unplayed:

      Вам органы власти запретят прямое общение между пользователями. Вся переписка должна быть сами догадываетесь что дальше должно быть написано 😉

    • gelioson:

      Разместите сайт на своём телефоне, компьютере или выделенном сервере, чтобы он был постоянно доступен

      Эм, а что вам мешает прям щас поднять сайт на собственном телефоне, компьютере, сервере? Реальный айпишник IP4 стоит недорого, у того же МТС вроде 100р/мес, у некоторых провайдеров проводного интернета (Билайн) — вообще бесплатно. Статический вроде 130р. К вам будут напрямую подключаться «по IP (или через DNS-имя)» безо всяких твиттеров.

      нужно предусмотреть общие распределённые идентификаторы пользователей, типа адресов эл. почты, чтобы пользователь, зареганный на одном домене, мог оставлять комментарии под своим именем на всех сайтах сети.

      фсбшники апплодируют стоя

      • Lecron:

        При 130р ($2) стоит задуматься от реальном хостинге.

        • mimoprohodil:

          Ну да, конечно, 2$ за статику и нормальный полностью подконтрольный сервер или какой-то убогий шаред за эти же деньги, действительно, надо подумать.

  6. Unplayed:

    Десять тысяч лет назад все номера телефонов и фио их владельцев были доступны всем, телефонные справочники были на каждом углу на почте, а в некоторых странах прямо в телефонных будках, была справочная, куда можно было позвонить и узнать любой номер телефона (ну кроме скрытых за особую денежку или по закону). И никого это не парило, даже было удобно. И ещё лет десять назад было полно сайтов «жёлтые страницы» и им подобных.

    • anonymousses_2019:

      Можете найти мой домашний номер телефона и звонить туда до посинения, там всё равно кроме автоответчика с факсом вас никто не встретит. А вот зачем вам мой личный номер, реально личный? Ну и не говоря о том, что у многих на личный, но известный публично номер завязаны многие сервисы (нет, так делать не надо, по крайней мере со всеми подряд сервисами).

      • Unplayed:

        Но ведь реально раньше-то были в открытом доступе номера?

        Нонешняя мания для регистрации требовать номер телефона и меня не радует, хотя нет, радовала бы, если бы у операторов были реальные тарифы для телефонов только для регистраций… 😉

        • anonymousses_2019:

          Были. Желтые страницы — до сих пор есть, тот же даблгис и прочие справочники организаций. А вот частных лиц справочников я после 80-х и не помню (до этого ещё были печатные), разве что в справочной «09» по точным данным.

        • gelioson:

          Были-то были, но в то время по номеру телефона нельзя было получить доступ к личным фото, переписке, банковским счетам и т.п.

          • Unplayed:

            Дак что же такого случилось с человечеством, что оно отдалось во власть этих злосчастных одиннадцати циферок? Не сошло ли оно с ума с этой привязкой к номеру телефона? 😉

            • gelioson:

              Все просто же. Кто-то неочень умный решил, что эти злосчастные 11 циферок равносильны признанию, подписи и печати кровью отдельного индивидуума. Потому их и требуют на каждом углу. А то, что их надо хранить в тайне и, что хуже, любой может относительно несложно получить дубликат — упс, это мы не подумали…

    • Ifuntik:

      Да, один мужчина даже нашел так Сару Коннор, в кино показывали.

  7. Abyss:

    Как вам такая теория заговора:
    Всё это было давно известно и заинтересованный круг лиц уже пользуется этими базами
    А сейчас СМИ разрешили публиковать такие новости, чтоб иметь еще один аргумент в конгрессе по поводу криптовалюты, да и вообще лучше контролировать FB

    • Макс Любин:

      Версия имеет право на жизнь, но шапочку из фольги я бы снимать не спешил)

  8. ReadAir:

    А чо с вк такого нет? Автор слишком узкий
    Ну и незачем ничего хранить

    • Михаил Тареев:

      Автор слишком американец и не знает ни про какой вконтакте.

  9. Buzzdoy:

    Номера не только через соцсети утекают… Всякие есть озон-амазон и прочие сервисы всего чего угодно типа такси или доставки еды, и за ними никто особо не следит. Карточки банковские привязывают к их приложениям, а насколько они дырявы — это большой вопрос. Какой уж тут фейсбук…

  10. Lecron:

    Уязвимость, это возможность сделать «дублер» номера или сбросить пароль к критическим службам, только владея номером. Но конечно с наглядной, но по сути незначительной дырой фейсбука, бороться веселее.

  11. lllsdadkgedcx:

    Фейсбук позволяет до сих пор использовать не существующую почту и любые фамилию-имя. Кто так не делает, сам себе злобный Буратино.

  12. yan_d:

    Facebook пора уйти в историю. Просто поражает, как настолько отвратительный сайт с кучей проблем до сих пор заколачивает лярды. Мир сошел с ума…