Hlavní navigace

Už je to tu zas: zaměstnanci Facebooku mají přístup k jakémukoliv účtu

 Autor: Isifa
Daniel Dočekal

TheHackerNews a další média přišla s objevnou novinkou, která je ale známá už roky. Třeba i proto, že plyne z principu fungování internetových služeb.

Ve Facebook Employees can Access your Account without your Password se dočtete skutečnost, která už byla mnohokrát probírána. Navíc je zřejmá z povahy věci – zaměstnanci Facebooku mají přístup k jakémukoliv účtu na Facebooku. A to, pochopitelně, bez zadání vašeho hesla. Článek je přitom reakcí na velmi zábavný příspěvek na Facebooku od Paavo Siljamaki.

Tento příspěvek svědčí hlavně o tom, jak zásadní neznalosti mají uživatelé internetu o základních mechanismech služeb. Silkamaki se totiž usilovně diví tomu, že při návštěvě ve Facebooku se tamní zaměstnanec prostě „přihlásil“ na jeho účet, aniž by k tomu potřeboval heslo. Co víc, tento přístup ani nevedl k vyrozumění uživatele, že k němu došlo. Podobně přitom fungují v podstatě všechny informační systémy.

TIP: Tentýž problém se řešil už loni, například v září v Here’s How Much Access Facebook Employees Have to Your Account. Pokud se pamatujete, tehdy se objevil mýtus, ve kterém hrál roli „skeleton key“, nějaké takové „univerzální heslo“. To samé se ale ostatně řešilo už roce 2010, viz Facebook employee reveals that employee's access user profiles with a master password and multiple copies of user information are stored in data centres. Zde také najdete jakýsi „master password“, o kterém v té době psal i Purported Interview With Facebook Employee Details Use Of ‚Master Password‘

Celá „kauza“ nakonec paradoxně vedla k tomu, že Facebook vydal prohlášení, ve kterém sděluje, kdo všechno má přístup k účtům uživatelů:

We have rigorous administrative, physical, and technical controls in place to restrict employee access to user data. Our controls have been evaluated by independent third parties and confirmed multiple times by the Irish Data Protection Commissioner’s Office as part of their audit of our practices. 

Access is tiered and limited by job function, and designated employees may only access the amount of information that’s necessary to carry out their job responsibilities, such as responding to bug reports or account support inquiries. Two separate systems are in place to detect suspicious patterns of behavior, and these systems produce reports once per week which are reviewed by two independent security teams. 

We have a zero tolerance approach to abuse, and improper behavior results in termination.

Co je v tomto případě v zásadě podstatné, je, že kdokoliv ve Facebooku se může dostat k jakýmkoliv informacím uživatelů. Všechno to ujišťování o administrativním, fyzickém a technickém omezení je samozřejmě klasické PR.

TIP: „Master password“ Facebooku se vrátil i v roce 2013. Tehdy ale klasicky nešlo o nic jiného, než o zásadní projev okurkové sezóny. Psali jsme o tom na Lupě v „Master password“ u Facebooku a kauza PRISM? Vrtěti psem.

Je nutné si uvědomit, že cokoliv, co je založené na předpokladu poctivosti lidí, je vždy odsouzeno k selhání. Tvrzení o důsledně strukturovaném přístupu neobstojí v okamžiku, kdy nastoupí hamižnost, zvědavost, závist nebo možnost získat dostatečný objem peněz.

Nic nebude platné, že Facebook všechny přístupy monitoruje, zejména proto (což se také můžete dočíst v prohlášení firmy), že podezřelé aktivity jsou sice monitorovány, ale zprávy jsou vytvářeny pouze jednou týdně. A pokud někdo své postavení zneužije, tak sice nejspíš bude velmi rychle vyhozen, ale škodu tím způsobenou už napravit nepůjde.

Vše je veřejné

Facebook a internet jsou veřejný prostor a mělo by platit to, že cokoliv Facebooku svěříte, by mělo být pouze veřejně sdělitelné. Vše koneckonců sdílíte s řadou lidí a jakékoliv sdílení „pouze s přáteli“ je stejně mýtus. U zaměstnanců Facebooku je ale situace o něco komplikovanější – mají přístup k informacím, které jsou výsledkem vašeho užívání Facebooku a nejsou za normálních okolností přístupné.

Bohužel žádná jistá cesta, jak být zcela v bezpečí, neexistuje. Jakýkoliv informační systém musí mít správce, techniky či operátory. A vždy platí, že ti mají a budou mít přístup k informacím v tomto systému. 

Dokud vše, co na Facebook dáváte, není striktně šifrované, je to čitelné kýmkoliv. A ani šifrování by nakonec řešení nepřineslo, protože z povahy Facebooku plyne, že vše musí být dešifrovatelné. 

Našli jste v článku chybu?

3. 3. 2015 12:57

Ano, to ale směšujete dvě věci...
Jedna je, zda se admin dostane k datům uživatele a tady je odpověď většinou ano a nemyslím si, že to je vždy znak nějakého diletanství (je nutno posuzovat konkrétní aplikaci). V tomhle má autor původního příspěvku pravdu, je to skutečně běžné.

To, co píšete vy, je až druhá věc. U náročného systému běžně existuje nějaký nezávislý audit logů a často i nahrávání admin sessions, obvykle spravovaný zcela oddělenou skupinou správců ze security útvaru. Pak sice admin …


3. 3. 2015 10:42

klapaciuss (neregistrovaný)

Pánové, když se vybavujete s přáteli v hospodě, tak vás taky mohou slyšet lidé u ostatních stolů. Nikdo přitom neřeší, že by v hospodě komunikoval šifrovaně. Bylo by to směšné. S Facebookem je to obdobné. Nic jiného než to, co běžně říkáte nahlas v hospodě na Facebook nepatří. To je taky jediné security, které lze reálně uplatnit.

Obecně je v takových situacích nejlepším přístupem snažit se, aby vaše data uložená na FB byla pro kohokoliv cizího bezcenná.

DigiZone.cz: Optimedia: hybridní kampaň Nescafé

Optimedia: hybridní kampaň Nescafé

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...