Pred pár dňami sa objavil 17GB súbor, ktorý obsahoval viac ako pol milióna obrázkov z privátnych profilov na MySpace. Osoba, ktorá obrázky zdieľala za pomoci BitTorrent technológie využila starú zraniteľnosť známu už niekoľko mesiacov, ktorú MySpace opravilo len nedávno, aj to len po nátlaku magazínu Wired, ktorý o celom probléme informoval. Jedná sa pravdepodobne o najväčší únik osobných dát v histórii sociálnych sietí. Kto je zodpovedný za únik fotografií a čo to znamená pre poškodených užívateľov?

Od začiatku sociálnych sietí, ako Facebook, MySpace či Orkut, sa snažím upozorniť na veľké riziko úniku osobných dát na portáloch, ktoré dnes označujeme ako sociálne. Tí, čo čítate môj blog od začiatku, ste s mojím názorom zaiste uzrozumený. Nedávno sa na stránkach magazínu Wired objavila séria článkov, popisujúcich zraniteľnosť MySpace, ktorá bola známa už niekoľko mesiacov! MySpace si s ňou ťažkú hlavu nerobil, podľa nich to bola len malá zraniteľnosť, ktorá reálne neohrozí bezpečnosť užívateľov na tomto portáli. Ako upozornil Wired, útočník zverejnil súbor o veľkosti 17GB, ktorý obsahoval viac než pol milióna fotografií z privátnych profilov. Medzi nimi sa samozrejme nachádzali aj fotografie erotického charakteru, dokonca neplnoletých osôb.

Zraniteľnosť nebola nijak sofistikovaná, stačilo do flashového prehliadača, ktorý MySpace využíva na prezeranie fotografií, zadať číslo vybraného profilu a útočník si mohol prezerať privátne fotografie obete. Najväčšie znepokojenie samozrejme vyvolali domienky, že by fotografie neplnoletých, ktorí najviac navštevujú takéto portály, mohli padnúť do rúk pedofilom. Pre využitie tejto chyby vznikli dokonca weby, umožňujúce zobrazenie privátnych fotografií, ako napríklad MySpacePrivateProfile.com.

Tento prípad potvrdil obavy ľudí venujúcich sa bezpečnosti. Je len otázka času, kedy budú mať takéto “banálne” chyby fatálne následky. Dodnes neexistujú zákony, ktoré by potrestali tvorcov aplikácií a webov, a donútili ich k odškodneniu poškodených užívateľov. Najviac sa však obávam psychického a finančného dopadu na užívateľov. Ako príklad možu poslúžiť tzv. on-line banky. Tieto on-line banky (ako napríklad PayPal, Moneybookers či PayPay) existujú už niekoľko rokov a umožňujú okamžité posielanie peňazí cez internet komukoľvek s účtom v tejto on-line banke, ktorý je možné založiť za niekoľko minút. V dnešnej dobe však všetky bojujú s obrovským fraudom (podvody, ako napríklad phishing, kradnuté platobné karty) a aplikujú abnormálne obmedzenia, aby mu zabránili. Sociálne siete sú výborným miestom pre začlenenie takýchto služieb (napríklad taký Facebook má dnes viac ako 50 milónov registrovaných užívateľov) a tak vznikajú desiatky podobných spoločností, ktoré sa okamžite pokúšajú vstúpiť týchto sietí (napríklad do Facebooku za pomoci jeho API rozhrania) a ponúknuť užívateľom zasielanie peňazí svojim známim len rýchlim kliknutím a vypísaním zopár údajov. To znamená, že ak vám odcudzia konto na Facebooku, možete prísť o veľké množstvo peňazí. Samozrejme že žiadna spoločnosť nebude postihnutá, len určiť vyníka je takmer nemožné. Kto vám potom vráti peniaze? Dnes ani samotné banký nie sú ochotné akceptovať odsudzenie platobnej karty a jej zneužitie on-line (robím malý prieskum a čoskoro o ňom napíšem).

Nakoniec si môžete pozrieť video, ktoré demonštruje jednoduchosť zraniteľnosti. Samotné video je staré už päť mesiacov, čo dokazuje neschopnosť (neochotu?) MySpace zabezpečovať svojím užívateľom dostatočnú ochranu. A ak vám to nestačí, môžete si celý 17GB súbor stiahnuť z The Pirate Bay.

Žiadne príbuzné články neboli nájdené.