Hlavní navigace

Už je to tu zas: zaměstnanci Facebooku mají přístup k jakémukoliv účtu

 Autor: Isifa
Daniel Dočekal 3. 3. 2015

TheHackerNews a další média přišla s objevnou novinkou, která je ale známá už roky. Třeba i proto, že plyne z principu fungování internetových služeb.

Ve Facebook Employees can Access your Account without your Password se dočtete skutečnost, která už byla mnohokrát probírána. Navíc je zřejmá z povahy věci – zaměstnanci Facebooku mají přístup k jakémukoliv účtu na Facebooku. A to, pochopitelně, bez zadání vašeho hesla. Článek je přitom reakcí na velmi zábavný příspěvek na Facebooku od Paavo Siljamaki.

Tento příspěvek svědčí hlavně o tom, jak zásadní neznalosti mají uživatelé internetu o základních mechanismech služeb. Silkamaki se totiž usilovně diví tomu, že při návštěvě ve Facebooku se tamní zaměstnanec prostě „přihlásil“ na jeho účet, aniž by k tomu potřeboval heslo. Co víc, tento přístup ani nevedl k vyrozumění uživatele, že k němu došlo. Podobně přitom fungují v podstatě všechny informační systémy.

TIP: Tentýž problém se řešil už loni, například v září v Here’s How Much Access Facebook Employees Have to Your Account. Pokud se pamatujete, tehdy se objevil mýtus, ve kterém hrál roli „skeleton key“, nějaké takové „univerzální heslo“. To samé se ale ostatně řešilo už roce 2010, viz Facebook employee reveals that employee's access user profiles with a master password and multiple copies of user information are stored in data centres. Zde také najdete jakýsi „master password“, o kterém v té době psal i Purported Interview With Facebook Employee Details Use Of ‚Master Password‘

Celá „kauza“ nakonec paradoxně vedla k tomu, že Facebook vydal prohlášení, ve kterém sděluje, kdo všechno má přístup k účtům uživatelů:

We have rigorous administrative, physical, and technical controls in place to restrict employee access to user data. Our controls have been evaluated by independent third parties and confirmed multiple times by the Irish Data Protection Commissioner’s Office as part of their audit of our practices. 

Access is tiered and limited by job function, and designated employees may only access the amount of information that’s necessary to carry out their job responsibilities, such as responding to bug reports or account support inquiries. Two separate systems are in place to detect suspicious patterns of behavior, and these systems produce reports once per week which are reviewed by two independent security teams. 

We have a zero tolerance approach to abuse, and improper behavior results in termination.

Co je v tomto případě v zásadě podstatné, je, že kdokoliv ve Facebooku se může dostat k jakýmkoliv informacím uživatelů. Všechno to ujišťování o administrativním, fyzickém a technickém omezení je samozřejmě klasické PR.

TIP: „Master password“ Facebooku se vrátil i v roce 2013. Tehdy ale klasicky nešlo o nic jiného, než o zásadní projev okurkové sezóny. Psali jsme o tom na Lupě v „Master password“ u Facebooku a kauza PRISM? Vrtěti psem.

Je nutné si uvědomit, že cokoliv, co je založené na předpokladu poctivosti lidí, je vždy odsouzeno k selhání. Tvrzení o důsledně strukturovaném přístupu neobstojí v okamžiku, kdy nastoupí hamižnost, zvědavost, závist nebo možnost získat dostatečný objem peněz.

Nic nebude platné, že Facebook všechny přístupy monitoruje, zejména proto (což se také můžete dočíst v prohlášení firmy), že podezřelé aktivity jsou sice monitorovány, ale zprávy jsou vytvářeny pouze jednou týdně. A pokud někdo své postavení zneužije, tak sice nejspíš bude velmi rychle vyhozen, ale škodu tím způsobenou už napravit nepůjde.

Vše je veřejné

Facebook a internet jsou veřejný prostor a mělo by platit to, že cokoliv Facebooku svěříte, by mělo být pouze veřejně sdělitelné. Vše koneckonců sdílíte s řadou lidí a jakékoliv sdílení „pouze s přáteli“ je stejně mýtus. U zaměstnanců Facebooku je ale situace o něco komplikovanější – mají přístup k informacím, které jsou výsledkem vašeho užívání Facebooku a nejsou za normálních okolností přístupné.

MIF16

Bohužel žádná jistá cesta, jak být zcela v bezpečí, neexistuje. Jakýkoliv informační systém musí mít správce, techniky či operátory. A vždy platí, že ti mají a budou mít přístup k informacím v tomto systému. 

Dokud vše, co na Facebook dáváte, není striktně šifrované, je to čitelné kýmkoliv. A ani šifrování by nakonec řešení nepřineslo, protože z povahy Facebooku plyne, že vše musí být dešifrovatelné. 

Našli jste v článku chybu?
Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Podnikatel.cz: 5 věcí, které o EET ještě nevíte

5 věcí, které o EET ještě nevíte

Lupa.cz: Poučný příběh jednoho rozšíření pro Chrome

Poučný příběh jednoho rozšíření pro Chrome

DigiZone.cz: RRTV: licence pro Šlágr TV

RRTV: licence pro Šlágr TV

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu