HARD CORE SECURITY LAB

Facebook był już wielokrotnie oskarżany o niewystarczającą ochronę prywatności swych użytkowników. Niejasne zmiany w mechanizmach zarządzania prywatnością, brak zrozumienia oczekiwań swych użytkowników w tym zakresie oraz kilka wpadek prowadzących do upubliczniania prywatnych informacji. Wszystko to powoduje, że wielu użytkowników Facebooka zaczyna poważnie zastanawiać się nad bezpieczeństwem informacji powierzanych temu społecznościowemu gigantowi. Okazuje się jednak, że od niedawna osoby zatroskane o swą prywatność mają dodatkowy powód do zmartwień...

Tym razem chodzi o Facebook Open Graph API, czyli nowy interfejs, dzięki któremu twórcy stron internetowych będą mogli dołączać do nich mechanizmy oraz funkcje znane z samego Facebooka. Okazuje się jednak, że niejako przy okazji, Graph API może również umożliwiać... automatyczne oraz masowe zbieranie informacji o użytkownikach Facebooka!

Kanadyjski programista, Ka-Ping Yee, przygotował interesującą stronę internetową, dzięki której każdy może się przekonać o tym, co też Facebook udostępnia na temat swych użytkowników za pomocą Open Graph API. Spójrzmy więc na przykład, na podstawie konta należącego do wortalu OSnews.pl:

Wystarczy tylko w formularzu wprowadzić nazwę lub ID użytkownika, a otrzymamy wszystkie zgromadzone na jego temat w ramach Facebooka informacje:

Jak widać, otrzymamy w bardzo przejrzystej, hierarchicznej postaci wszystkie publiczne informacje zgromadzone w ramach tego konta. Po wybraniu kolejnego atrybutu (np. /posts), otrzymamy kolejne, uporządkowane informacje na wybrany temat.

Na pierwszy rzut oka może się wydawać, że mechanizm ten nie stanowi żadnego zagrożenia, ponieważ dokładnie te same informacje są dostępne z poziomu samego Facebooka. Jednak po pierwsze, uporządkowana, hierarchiczna postać informacji zdobytych za pośrednictwem API znacznie upraszcza analizę danych. Po drugie, mechanizm ten świetnie nadaje się do wykorzystania w zautomatyzowanych narzędziach do wyszukiwania informacji lub masowego zbierania danych o użytkownikach Facebooka. Wygląda więc na to, że właśnie otrzymaliśmy kolejne narzędzie niezwykle przydatne do przeprowadzania białego wywiadu.

Warto również nadmienić, że jeszcze kilka dni temu, za pośrednictwem Facebook Open Graph API można było uzyskać nie tylko informacje upublicznione w ramach danego profilu, ale również niektóre prywatne! Natomiast jedynym pozytywem jest chyba to, że mechanizm ten pozwala również samym użytkownikom Facebooka na łatwe zweryfikowanie udostępnianych całemu światu informacji...