Chyba Facebooku (opět) umožňuje prohlížet cizí fotografie, i ty co nemáte vidět

Privátní fotografie Marka Zuckerberga s jeho prvním zabitým zvířetem je jednou z mála ukázek další bezpečnostní chyby Facebooku. Soukromí na Facebooku neexistuje, je to jenom zdání. Iluze záměrně udržovaná Facebookem. Tím Facebookem, který šetřilo americké FTC pro ignorování soukromí uživatelů. Facebooku, který rok co rok více a více pojem soukromí likviduje.

Je vůbec možné, aby někdy uživatelé Facebooku pochopili, že na Facebooku pojem „soukromí“ neexistuje? A že cokoliv na Facebook (ale obecně na Internet) umístí, je umisťováno do veřejného prostoru? Možné to nejspíš není – roky ujišťování Facebooku jak dbá na soukromí svých uživatelů, sice jsou v přímém rozporu se stále větším otevíráním jejich účtů veřejnému přístupu, ale uživatelé stále věří, že na Facebooku mohou mít soukromí. Jak ukazuje poslední bezpečnostní chyba, Facebook to se soukromím myslí hodně laxně.

Úsměvné na poslední bezpečnostní chybě umožňující získat přístup k libovolným fotografiím kteréhokoliv uživatele je to, že návod na ní se objevil (Facebook security hole allows viewing of private photos) na BodyBuilding.com forum. Spočívá ve využití nahlášení fotografie jako závadné – v rámci procesu nahlášení Facebook ochotně nabídne další fotografie nahlašovaného uživatele, včetně těch, které nikdy neměl vidět. A od tohoto objevu už byl jenom krok k zjištění, jak je možné k libovolným fotografiím přistupovat pomocí ruční manipulace s jejich adresou.

Facebook chybu odstranil v rekordním čase, ale nejspíš jenom dočasným řešením, protože jde o zásadní a základní chybu mechanismu ochrany fotografií před neoprávněným přístupem. Kdokoliv si tak po omezenou dobu mohl prohlédnout i privátní fotografie Marka Zuckerberga – tento velký propagátor ztráty soukromí na Facebooku má (samozřejmě) řadu fotografií, které nemají být přístupné.

“The bug allowed anyone to view a limited number of another user’s most recently uploaded photos irrespective of the privacy settings for these photos,” says a spokesperson. ” This was the result of one of our recent code pushes and was live for a limited period of time. Upon discovering the bug, we immediately disabled the system, and will only return functionality once we can confirm the bug has been fixed.”

Dočasnost řešení (spočívá pouze v tom, že dočasně byla vypnuta možnost takto nahlásit závadné fotografie) je potvrzena i v dalším vyjádření Facebooku:

This was indeed a bug, and shouldn't work any more. We turned off the system that lets you report content through this flow (and thus made this bug's code inaccessible) as soon as we became aware of the issue.

Dočasnost a nevhodnost „rychlé opravy“ ale ukazuje dostatečně i to, že je stále možné získat přístup k fotografiím pomocí URL – stačí získat potřebné parametry v následující adrese (XX a YY). Ty lze sice získat hlavně pomocí odchytávání komunikace mezi vaším prohlížečem a Facebookem, ale stále to znamená, že neveřejné fotografie nejsou (a nejspíš ani nikdy nebudou) dostatečně chráněné.

http://www.facebook.com/ajax/report/social.php?__a=1&__d=1&attach_additional_photos=1
&cid=XX&content_type=0&h=YY&phase=6&report_id=1&rid=XX

Na další bezpečnostní chybě Facebooku je dostatečně vidět, že soukromí na Facebooku neexistuje. Samotný Facebook „omylem“ zpřístupní komukoliv vaše privátní fotografie v rámci procesu nahlášení závadných fotografií (proces vůbec nemusíte dokončit, stačí ho jenom zahájit). A aby toho nebylo málo, přístup k fotografiím lze získat pomocí jejich URL pouze tím, že podvrhnete dva potřebné parametry – oba lze získat z komunikace mezi prohlížečem a Facebookem.

Poučení? Soukromí na Internetu neexistuje

Podobných příkladů u Facebooku bylo hodně – z poslední doby například „chyba“ ukazující cizí komentáře v klientském software na iPhone. Před několika měsíci „omylem“ zpřístupněná privátní videa uživatelů.

Soukromí na Internetu neexistuje a na Facebooku už vůbec ne. Stále platí zásadní věc – cokoliv umístíte na Internet, umisťujete do veřejně přístupného prostoru. Jakákoliv omezení v podobě „nastavení soukromí na Facebooku“ jsou jenom iluze a k jejich překonání vždy stačí málo – ať už chyba provozovatele (Facebooku) nebo prostý průnik na váš účet. Chcete-li tedy na Facebook, sociální sítě a Internet vůbec, cokoliv vkládat, vždy tam vkládejte věci, které jsou určeny pro veřejnost. Které může vidět, slyšet a číst kdokoliv, aniž by vám to mohlo jakkoliv vadit či ublížit.

Veřejně přístupné služby jako je Facebook nemohou nikdy nabídnout dostatek bezpečí a soukromí – kryptografické zajištění obsahu na úrovni obtížně rozlousknutelných „klíčů“ (zjednodušeně) používat nemohou a míra komplexnosti (rostoucí s časem takřka exponenciálně) zajišťuje, že budou vznikat nové a nové bezpečnostní chyby.

Tento text je již více než dva měsíce starý. Chcete-li na něj reagovat v diskusi, pravděpodobně vám již nikdo neodpoví. Pro řešení aktuálních problémů doporučujeme využít naše diskusní fórum.