250Gb ellopott Facebook adat - megbukott az immunis rendszer

Facebook Security Fail

A British Columbia Egyetem kutatói egy alapos tesztnek vetették alá a Facebook "immunis" biztonsági rendszerét - az eredmény pedig elkeserítő lett. Az úgynevezett social botok használatával, nyolc hét alatt összesen 250Gb privát adatot sikerült kinyerniük a felhasználóktól, melyeket normál esetben csak az egyén barátai láthatnak.

Egy-egy ilyen bot kívülről teljesen úgy viselkedik, mint egy átlagos ember. Többnyire egy jól megáldott hölgy, valami teljesen átlagos névvel, megfelelő lökhárítókkal felszerelve ismerősnek jelöli az embert. A legtöbb ember általában különösebb fennakadások nélkül vissza is jelöli, hátha jó lesz még valamire a jövőben.

És itt lép működésbe igazán a bot. Nem csak megszerzi az amúgy privát(ish) adatokat, de az illető ismerőseit is elkezdi bejelölgetni. És így tovább... Nagyságrendekben ez minden egymillió felhasználóból 3.000 átvert embert jelent. A Facebook jelenleg ~750.000.000 millió tagot számlál.

A minden szociális oldalnál jobb, immunis rendszer azonban ezt lenne hivatott megakadályozni (bár őszintén, eddig csak a http://goo.gl linkek postolása esetén feldobott 42 captcha feldobásakor láttam működni...), de a 102 elindított robotból mindössze 20 akadt fenn a rostán. Azok is csak azért, mert a felhasználók bejelentették őket spamelésért.

Egy-egy bot napi 175 privát adatot gyűjtött össze. Még ha csak a 82 mindvégig sikeresen működő robotot nézzük, 8 hét alatt 240.000 ember 11.200 személyes adatát lopták el, egyenként. Ez összesen 918.000 bejegyzés. Ha csak telefonszámot és e-mail címet nézünk, 459.200 bejegyzés, melyet bármelyik cég könnyedén megkaparinthat, és kéretlen reklámokkal, ajánlatokkal bombázhatja a felhasználókat.

Ami aggasztóbb, hogy bárki könnyedén szerezhet ilyen robotot, mindössze 29 dollárért. A kinyert adatok azonban bőségesen visszahozzák a befektetés értékét. És mint látható, védekezni sem lehet ellene igazán.

Az egyszerű felhasználó két dolgot tehet: nem igazol vissza ismerősnek minden csajt, akit szívesen elvinne pár körre, illetve az adatok láthatóságát szigorú megszórítások alá veszi. Persze ez sem jelent feltétlen biztonságot.