Főoldal Megoldásaink Rendszerüzemeltetés díjcsomagok Partnereink Referenciák Elérhetőségeink
Rendszerüzemeltetés Hálózatépítés Szerver bérlés Webhoszting IP alapú telefonközpont Felhő szolgáltatások

Content on this page requires a newer version of Adobe Flash Player.
Az oldal tartalama egy frissebb verziójú Adobe Flash Player telepítését igényli.

Get Adobe Flash player
Iratkozzon fel hírlevelünkre!   Akciós ajánlatok várják minden hónapban.  


Így szivárog a Facebook

Facebook felhasználók tömegeinek személyes információi gyűjthetők be a közösségi oldal API-ját és véletlenszerűen generált telefonszámokat használva. A közösségi oldal nem tartja komolynak a hibát, mondván korlátozzák az így kinyerhető adatmennyiséget. De ilyen korlátot mégsem implementálnak.

A Facebookon tárolt adatok biztonságáról megoszlanak a vélemények: a paranoiásabbak szinte semmilyen valós adatot nem tesznek közzé profiljukon, másokat pedig egyáltalán nem foglalkoztat, hogy ki látja az általuk közzétett tartalmakat. Igaz, a közösségi oldal igyekszik mindenkit megnyugtatni, hogy információikra a legkorszerűbb ipari biztonsági szabványok vigyáznak - ami önmagában igaz is - a az felhasználók alapértelmezett biztonsági beállítások mellett jóval több adatot tesznek bárki számára elérhetővé, mint gondolnák - és az átlagos facebookozók többsége jó eséllyel ritkán merül el a profiljához kapcsolódó biztonsági opciók között.

Az ebből adódó veszélyekre Reza Moaiandin biztonsági szakértő is rámutatott néhány nappal ezelőtt, aki egy olyan módszert demonstrált, amellyel támadók az egyik, a közösségi oldalhoz tartozó API-n keresztül tömegesen gyűjthetnek be Facebook ID-ket és oldhatják fel azok titkosítását, ezáltal akár felhasználók millióinak személyes adataihoz férhetnek hozzá.

A biztonsági rés kihasználásához a szakértő egy script segítségével véletlenszerű telefonszámokat generált, egy kiválasztott ország vonatkozó szabályozásai alapján. A fenit API-n keresztül lehetőség nyílik ellenőrizni, hogy az adott számhoz tartozik-e felhasználó, és amennyiben igen, annak személyes adatai is lekérhetők az oldaltól. Moaiandin az Egyesült Államok, Kanada és Nagy-Britannia telefonszámaival is sikeresen reprodukálta a hibát.

A szakértő felfedezéséről még áprilisban tájékoztatta a Facebookot, az ugyanakkor válaszlevele szerint saját hatáskörben nem tudta reprodukálni a hibát - néhány hónappal később pedig Moaiandin azt a tájékoztatást kapta, hogy a probléma "nem komoly", továbbá a cég a kapcsolódó kódbázis átvizsgálása után úgy találta, hogy a funkció mennyiségi korlátozással párosul, azaz a fenti módszerrel nem kérhető le adott számúnál több profil, ennek megfelelően a vállalat nem tartja biztonsági hibának - ez éles ellentétben áll a kutató tapasztalataival, aki szerint hatalmas tömegek  adati férhetők hozzá az eljárással. Annak reményében tehát, hogy a vállalat így talán lép valamit, a Reza nyilvános blogposztban is beszámolt felfedezéséről.

A Facebook "feature" által jelentett veszély egyébként aránylag egyszerűen kivédhető, ha a felhasználó a "Ki láthatja az adataimat?" pont alatt korlátozza a hozzáférést ismeretlenek számára profiljához, ezt ugyanakkor kevesen teszik meg. Persze az is kérdés, hogy a Facebook szempontjából mi számít nagy tömegnek, azaz mekkora létszámnál kapcsol be a funkcióhoz párosuló throttling - 1,44 milliárdos felhasználói bázisnál könnyen lehet, hogy az oldal néhány millió usert még kisebb csoportnak tekint.

A következő hetek, hónapok során mindenesetre kiderül, hogy a hiba nyilvánosságra kerülésével változik-e a közösségi oldal álláspontja, vagy a cég szakértői helyett a támadóknak sikerül reprodukálni a hibát.

forrás: hwsw.hu



Feltöltve: 2015. 08. 15. 16:24
Főoldal Megoldásaink Díjcsomagjaink Partnereink Referenciák Elérhetőségeink
Rendszerüzemeltetés Hálózatépítés Felhő szolgáltatások Webhoszting IP alapú telefonközpont Szerverbérlés
Copyright © 2012 U'n'IT Network. Minden jog fenntartva.