Ve Facebook Employees can Access your Account without your Password se dočtete skutečnost, která už byla mnohokrát probírána. Navíc je zřejmá z povahy věci – zaměstnanci Facebooku mají přístup k jakémukoliv účtu na Facebooku. A to, pochopitelně, bez zadání vašeho hesla. Článek je přitom reakcí na velmi zábavný příspěvek na Facebooku od Paavo Siljamaki.
Tento příspěvek svědčí hlavně o tom, jak zásadní neznalosti mají uživatelé internetu o základních mechanismech služeb. Silkamaki se totiž usilovně diví tomu, že při návštěvě ve Facebooku se tamní zaměstnanec prostě „přihlásil“ na jeho účet, aniž by k tomu potřeboval heslo. Co víc, tento přístup ani nevedl k vyrozumění uživatele, že k němu došlo. Podobně přitom fungují v podstatě všechny informační systémy.
TIP: Tentýž problém se řešil už loni, například v září v Here’s How Much Access Facebook Employees Have to Your Account. Pokud se pamatujete, tehdy se objevil mýtus, ve kterém hrál roli „skeleton key“, nějaké takové „univerzální heslo“. To samé se ale ostatně řešilo už roce 2010, viz Facebook employee reveals that employee's access user profiles with a master password and multiple copies of user information are stored in data centres. Zde také najdete jakýsi „master password“, o kterém v té době psal i Purported Interview With Facebook Employee Details Use Of ‚Master Password‘
Celá „kauza“ nakonec paradoxně vedla k tomu, že Facebook vydal prohlášení, ve kterém sděluje, kdo všechno má přístup k účtům uživatelů:
We have rigorous administrative, physical, and technical controls in place to restrict employee access to user data. Our controls have been evaluated by independent third parties and confirmed multiple times by the Irish Data Protection Commissioner’s Office as part of their audit of our practices.
Access is tiered and limited by job function, and designated employees may only access the amount of information that’s necessary to carry out their job responsibilities, such as responding to bug reports or account support inquiries. Two separate systems are in place to detect suspicious patterns of behavior, and these systems produce reports once per week which are reviewed by two independent security teams.
We have a zero tolerance approach to abuse, and improper behavior results in termination.
Co je v tomto případě v zásadě podstatné, je, že kdokoliv ve Facebooku se může dostat k jakýmkoliv informacím uživatelů. Všechno to ujišťování o administrativním, fyzickém a technickém omezení je samozřejmě klasické PR.
TIP: „Master password“ Facebooku se vrátil i v roce 2013. Tehdy ale klasicky nešlo o nic jiného, než o zásadní projev okurkové sezóny. Psali jsme o tom na Lupě v „Master password“ u Facebooku a kauza PRISM? Vrtěti psem.
Je nutné si uvědomit, že cokoliv, co je založené na předpokladu poctivosti lidí, je vždy odsouzeno k selhání. Tvrzení o důsledně strukturovaném přístupu neobstojí v okamžiku, kdy nastoupí hamižnost, zvědavost, závist nebo možnost získat dostatečný objem peněz.
Nic nebude platné, že Facebook všechny přístupy monitoruje, zejména proto (což se také můžete dočíst v prohlášení firmy), že podezřelé aktivity jsou sice monitorovány, ale zprávy jsou vytvářeny pouze jednou týdně. A pokud někdo své postavení zneužije, tak sice nejspíš bude velmi rychle vyhozen, ale škodu tím způsobenou už napravit nepůjde.
Vše je veřejné
Facebook a internet jsou veřejný prostor a mělo by platit to, že cokoliv Facebooku svěříte, by mělo být pouze veřejně sdělitelné. Vše koneckonců sdílíte s řadou lidí a jakékoliv sdílení „pouze s přáteli“ je stejně mýtus. U zaměstnanců Facebooku je ale situace o něco komplikovanější – mají přístup k informacím, které jsou výsledkem vašeho užívání Facebooku a nejsou za normálních okolností přístupné.
Bohužel žádná jistá cesta, jak být zcela v bezpečí, neexistuje. Jakýkoliv informační systém musí mít správce, techniky či operátory. A vždy platí, že ti mají a budou mít přístup k informacím v tomto systému.
Dokud vše, co na Facebook dáváte, není striktně šifrované, je to čitelné kýmkoliv. A ani šifrování by nakonec řešení nepřineslo, protože z povahy Facebooku plyne, že vše musí být dešifrovatelné.
