Hlavní navigace

Chyba Facebooku (opět) umožňuje prohlížet cizí fotografie, i ty co nemáte vidět

Daniel Dočekal 9. 12. 2011

Privátní fotografie Marka Zuckerberga s jeho prvním zabitým zvířetem je jednou z mála ukázek další bezpečnostní chyby Facebooku. Soukromí na Facebooku neexistuje, je to jenom zdání. Iluze záměrně udržovaná Facebookem. Tím Facebookem, který šetřilo americké FTC pro ignorování soukromí uživatelů. Facebooku, který rok co rok více a více pojem soukromí likviduje.

Je vůbec možné, aby někdy uživatelé Facebooku pochopili, že na Facebooku pojem „soukromí“ neexistuje? A že cokoliv na Facebook (ale obecně na Internet) umístí, je umisťováno do veřejného prostoru? Možné to nejspíš není – roky ujišťování Facebooku jak dbá na soukromí svých uživatelů, sice jsou v přímém rozporu se stále větším otevíráním jejich účtů veřejnému přístupu, ale uživatelé stále věří, že na Facebooku mohou mít soukromí. Jak ukazuje poslední bezpečnostní chyba, Facebook to se soukromím myslí hodně laxně.

Úsměvné na poslední bezpečnostní chybě umožňující získat přístup k libovolným fotografiím kteréhokoliv uživatele je to, že návod na ní se objevil (Facebook security hole allows viewing of private photos) na BodyBuilding.com forum. Spočívá ve využití nahlášení fotografie jako závadné – v rámci procesu nahlášení Facebook ochotně nabídne další fotografie nahlašovaného uživatele, včetně těch, které nikdy neměl vidět. A od tohoto objevu už byl jenom krok k zjištění, jak je možné k libovolným fotografiím přistupovat pomocí ruční manipulace s jejich adresou.

Facebook chybu odstranil v rekordním čase, ale nejspíš jenom dočasným řešením, protože jde o zásadní a základní chybu mechanismu ochrany fotografií před neoprávněným přístupem. Kdokoliv si tak po omezenou dobu mohl prohlédnout i privátní fotografie Marka Zuckerberga – tento velký propagátor ztráty soukromí na Facebooku má (samozřejmě) řadu fotografií, které nemají být přístupné.

“The bug allowed anyone to view a limited number of another user’s most recently uploaded photos irrespective of the privacy settings for these photos,” says a spokesperson. ” This was the result of one of our recent code pushes and was live for a limited period of time. Upon discovering the bug, we immediately disabled the system, and will only return functionality once we can confirm the bug has been fixed.”

Dočasnost řešení (spočívá pouze v tom, že dočasně byla vypnuta možnost takto nahlásit závadné fotografie) je potvrzena i v dalším vyjádření Facebooku:

This was indeed a bug, and shouldn't work any more. We turned off the system that lets you report content through this flow (and thus made this bug's code inaccessible) as soon as we became aware of the issue.

Dočasnost a nevhodnost „rychlé opravy“ ale ukazuje dostatečně i to, že je stále možné získat přístup k fotografiím pomocí URL – stačí získat potřebné parametry v následující adrese (XX a YY). Ty lze sice získat hlavně pomocí odchytávání komunikace mezi vaším prohlížečem a Facebookem, ale stále to znamená, že neveřejné fotografie nejsou (a nejspíš ani nikdy nebudou) dostatečně chráněné.

http://www.fa­cebook.com/ajax/re­port/social.php?__a=1&_­_d=1&attach_ad­ditional_photos=1
&cid=XX&conten­t_type=0&h=YY&pha­se=6&report_id=1&rid=XX

Na další bezpečnostní chybě Facebooku je dostatečně vidět, že soukromí na Facebooku neexistuje. Samotný Facebook „omylem“ zpřístupní komukoliv vaše privátní fotografie v rámci procesu nahlášení závadných fotografií (proces vůbec nemusíte dokončit, stačí ho jenom zahájit). A aby toho nebylo málo, přístup k fotografiím lze získat pomocí jejich URL pouze tím, že podvrhnete dva potřebné parametry – oba lze získat z komunikace mezi prohlížečem a Facebookem.

Poučení? Soukromí na Internetu neexistuje

Podobných příkladů u Facebooku bylo hodně – z poslední doby například „chyba“ ukazující cizí komentáře v klientském software na iPhone. Před několika měsí­ci „omylem“ zpřístupněná privátní videa uživatelů.

Soukromí na Internetu neexistuje a na Facebooku už vůbec ne. Stále platí zásadní věc – cokoliv umístíte na Internet, umisťujete do veřejně přístupného prostoru. Jakákoliv omezení v podobě „nastavení soukromí na Facebooku“ jsou jenom iluze a k jejich překonání vždy stačí málo – ať už chyba provozovatele (Facebooku) nebo prostý průnik na váš účet. Chcete-li tedy na Facebook, sociální sítě a Internet vůbec, cokoliv vkládat, vždy tam vkládejte věci, které jsou určeny pro veřejnost. Které může vidět, slyšet a číst kdokoliv, aniž by vám to mohlo jakkoliv vadit či ublížit.

Veřejně přístupné služby jako je Facebook nemohou nikdy nabídnout dostatek bezpečí a soukromí – kryptografické zajištění obsahu na úrovni obtížně rozlousknutelných „klíčů“ (zjednodušeně) používat nemohou a míra komplexnosti (rostoucí s časem takřka exponenciálně) zajišťuje, že budou vznikat nové a nové  bezpečnostní chyby. 

Našli jste v článku chybu?

9. 12. 2011 10:12

MaxFM (neregistrovaný)

Vy si tlučte přirozením po zádech koho chcete a lepte to pak na net, já si s dovolením nechám své intimnosti sám pro sebe.

9. 12. 2011 7:53

Steve (neregistrovaný)

Vy jste nepochopil co chtěl říct autor. Nebo snad ukazujete ve společnosti svoje "nahaté" fotky nebo informujete celou hospodu o nejintimnějších detailech Vašeho života? O těhle lidech autor hovořil. Ale vysvětlete to uživatelům/kám, které si dají fotky svého pohlaví na facebook, rajce, xicht, líbko... a zaheslují je supersilným heslem 123 nebo svým jménem...

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: Pečete cukroví a zbyl vám bílek?

Pečete cukroví a zbyl vám bílek?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Měšec.cz: Přejete si číslo účtu na přání?

Přejete si číslo účtu na přání?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

DigiZone.cz: HD programy ČT i v UPC Horizon

HD programy ČT i v UPC Horizon

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph