Biztonsági rés tátongott a Facebookon

A Facebook hivatalosan is elismerte, hogy a webhelyének egyik szolgáltatása valóban egy meglehetősen komoly biztonsági rést rejtett. A hibára először a TechCrunch hívta fel a figyelmét a közösségépítő fejlesztőinek, akik azonnal megkezdték a vizsgálódást. Viszonylag hamar kiderült, hogy a sérülékenység ténylegesen létezik, és az egyes esetekben lehetőséget adhat más felhasználók üzenetváltásaiba való jogosulatlan betekintésre valamint egyéb adatmanipulációs tevékenységekre. Ezért nem csoda, hogy a fejlesztők úgy határoztak, hogy amíg ki nem javítják a hibát, addig letiltják a népszerű szolgáltatást.

A Facebook szóvivője elmondta, hogy amennyire lehetett gyorsan dolgoztak annak érdekében, hogy minél hamarabb sikerüljön megoldást találni a problémára. Azt azonban nem kívánta elárulni, hogy a sérülékenység pontosan mióta volt jelen a rendszerben. "Nem tudjuk pontosan, hogy mióta létezett a sebezhetőség, de nem volt hosszú életű." - vélekedett a szóvivő.

A kritikák kereszttüzében

John Simpson, a Consumer Watchdog egyik munkatársa nem rejtette véka alá az aggodalmait. "Ismét megtapasztalhattuk, hogy mi történik akkor, ha egy vállalat nem foglalkozik kellő mértékben a felhasználói adatok védelmével." - mondta Simpson. A szakember ezzel arra, az elmúlt napokban, hetekben tapasztalható egyre nagyobb méretű felháborodásra is utalt, amely a Facebook egyes, adatvédelmet jelentősen érintő fejlesztései, illetve rendszermódosításai után robbant ki. A legtöbb kritikát a Connected Profiles kapta, de sokan adtak hangot nemtetszésüknek a körülbelül két hete bejelentett Like gomb valamint az Instant Personalization (azonnali személyreszabás) funkció kapcsán is.  Ugyanakkor azt is meg kell jegyezni, hogy a Facebook az utóbbi hónapokban számos olyan biztonsági eszközt, illetve beállítási lehetőséget épített be a rendszerébe, amelyek az adatok kezelésével kapcsolatban nagyobb fokú testreszabási lehetőségeket biztosítanak.

A Facebook használatával kapcsolatban Peter Eckersley, az EFF (Electronic Frontier Foundation) szakértője így nyilatkozott: "Ne tároljunk olyan adatokat a Facebookon, amelyek esetében nem szeretnék, hogy azokat az égész világ lássa". A szakember szerint a Facebook biztonsága ugyan fejlődik, de mindez még mindig nem elegendő ahhoz, hogy az emberek számára nyugodt szívvel lehessen javasolni, hogy a személyes adataikat feltöltsék a közösségépítőre. Augie Ray, Forrester Research elemzője az incidens kapcsán elmondta, hogy az eddigi vizsgálatok szerint a mostani eset nem volt annyira komoly, hogy az széles körű problémákat okozott volna. Azonban ahhoz elegendőnek bizonyult, hogy sok felhasználóban kérdéseket vessen fel a Facebook megbízhatóságával kapcsolatban.

További biztonsági fenyegetettségek

A kancellar.hu szerint a Facebookon egyre gyakrabban bukkannak fel támadó trükköket használó alkalmazások, amelyek a böngészők SOP-jába (Same Origin Policy) és a Facebook fejlesztői interfészébe épített védelmeket nem feltörik, hanem egyszerűen, felhasználói közreműködéssel megkerülik. A káros alkalmazások a Facebookon különböző változatokban terjednek: például két kép közötti különbségeket kell megkeresni, vagy egy nehéznek tűnő kérdésre kell a választ megtalálni a használatuk során. Az is előfordul, hogy ezek a programok plusz szolgáltatásokkal hitegetik a felhasználókat.

A kancellar.hu szerint a támadók által alkalmazott JavaScript kódok visszafejtésével kiderült azok működési mechanizmusa is. A bejelentkezett Facebook felhasználó nevében a kattintásokat emulálva úgy tesznek, mintha maga a felhasználó nézegetné a közösségépítő oldalait. A legutóbb vizsgált program pedig az adott weblapot hozzáadja a kedvencekhez, és ismerőseinknek is ajánlja azt. Ugyanakkor fontos megjegyezni, hogy ezekkel a technikákkal egyéb, kártékony feladatokat is el lehet végeztetni a felhasználók nevében.

"Ennek, a végül is ártalmatlan történetnek is van néhány fontos tanulsága." - vonta le a következtetést Bártfai Attila, a kancellar.hu üzletfejlesztési igazgatója. Egyrészt a böngésző címsorában is lehet kódot végrehajtani, ami az adott oldalon minden védett tartalmat elér. Ezért onnan JavaScriptet futtatni csak akkor szabad, ha tudjuk mit csinálunk. Minden olyan szöveget óvatosan kezeljünk, ami "javascript:" karaktersorozattal kezdődik. Másrészt pedig ismét egy jó példát láttunk arra, hogy miért fontos, hogy már a tervezés során is kellő figyelem terelődjön a biztonságra. A szakember szerint a címsorban való programfuttatás ugyanis egy nem kellően végiggondolt ötlet, aminek meglétét nem támasztja alá valós forgatókönyv.