- PVSM.RU - https://www.pvsm.ru -

Facebook отказал студенту в стажировке из-за использованной им дыры в безопасности Messenger

Три месяца назад студент Гарварда Аран Кханна (Aran Khanna) готовился начать стажировку в Facebook, но за пару часов до поездки получил звонок с отказом [1]. Причиной стало «неэтичное» поведение студента: Кханна опубликовал расширение для Chrome, которое показывает место отправления сообщений в Facebook Messenger. Эти данные мессенджер отправляет по умолчанию с каждым сообщением из мобильного приложения.

Facebook отказал студенту в стажировке из-за использованной им дыры в безопасности Messenger - 1

Приложение «Карта мародёра» (название должно быть знакомо фанатам Гарри Поттера) — расширение для Google Chrome [2], которое использует данные из мессенджера Facebook для составления карты: на ней с точностью до метра отмечены места, откуда пользователи отправляли сообщения. На карте были только люди из группового чата — всех их Аран знал. Это значит, что гипотетически незнакомый человек мог увидеть, что Аран писал сообщение в мессенджере, находясь в Старбаксе.

Facebook Messenger работает с 2011 года — по умолчанию он с момента запуска отправляет данные о местоположении пользователя. В 2012 году об этом «свойстве» написал CNET, показав, как именно можно отключить функцию. Приложение получило множество обновлений, включия забавные эмодзи с котиками, но настройки геолокации компания не убирала. Кханна часто использовал мессенджер, но не знал, что делился таким количеством данных, пока не просмотрел историю сообщений.

image
Аран Кханна и Марк Цукерберг

26 мая Кханна разместил пост о «Карте мародёра» на Medium [3], после чего расширение скачали восемьдесят пять тысяч раз. Через три дня Facebook попросил разработчика отключить приложение и одновременно отключил передачу данных о местоположении на персональных компьютерах, что в любом случае блокировало работу «Карты».

Ещё через неделю Facebook выпустил обновление для Мессенджера, упомянув в релизе: «После этого обновления вы получите полный контроль над тем, когда и как вы делитесь данными о своём местоположении». В релизе компания не упомянула о том, что ранее настройки по умолчанию отправляли данные о локации, и о том, что без установки обновления пользователи продолжат отправлять эти данные.

Представитель Facebook сказал, что компания работала над обновлением для Мессенджера задолго до того, как Кханна опубликовал пост, и сказал, что процесс подготовки занял несколько месяцев.

Кханна опубликовал исследование [4] в Гарвардском журнале Technology and Science. Он объяснил, что цель приложения — показать последствия непреднамеренного обмена данными. Так пользователи смогут сами для себя решить, действительно ли это нарушение их частной жизни.

В 2012 году CNET опубликовал видео о том, как отключить передачу местоположения в Facebook Messenger. Но только через девять дней после публикации Арана в 2015 году появилось обновление, которое спрашивало пользователя, хочет ли он отправлять эти данные.

image

Через дни дня после публикации «Карты мародёра» и за два часа до того, как Аран должен был отправиться на стажировку, ему позвонили из Facebook и отказали в сотрудничестве из-за нарушения пользовательского соглашения Facebook — потому что он взломал сайт для получения данных. Кханна не согласен с Facebook, потому что он использовал информацию, доступную для всех пользователей, которую взял из собственных сообщений.

В 2012 году Марк Цукерберг в письме инвесторам говорил: «Мы создали уникальную культуру и систему менеджмента, которую мы называем Путь Хакеров» и «Будьте отважными»: оказалось, у отваги и хакерства есть ограничения.

В 2013 году разработчик из Палестины Халил Шритех сообщил в Facebook о баге [5], который позволяет любому пользователю разместить ссылку на чужой странице. Шритех хотел получить вознаграждение за найденную уязвимость, но в компании ему отказали, сказав, что «это не баг». Разработчик решил уведомить о найденной ошибке самого Марка Цукерберга и разместил на его странице сообщение, используя эту уязвимость. Денег Халил так и не получил: Facebook «не может заплатить вам за эту уязвимость, потому что ваши действия нарушили наши условия использования сервиса».

image

Автор: ivansychev

Источник [6]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/facebook/95989

Ссылки в тексте:

[1] получил звонок с отказом: http://www.boston.com/news/nation/2015/08/12/harvard-student-loses-facebook-internship-after-pointing-out-privacy-flaws/zASZFdUjn6PoliUiR9kVHJ/story.html

[2] расширение для Google Chrome: https://chrome.google.com/webstore/detail/marauders-map/mliofombcghaamgjkmmmmlepkiacdhkh

[3] Medium: https://medium.com/faith-and-future/stalking-your-friends-with-facebook-messenger-9da8820bd27d

[4] опубликовал исследование: http://techscience.org/a/2015081101/

[5] сообщил в Facebook о баге: http://habrahabr.ru/post/190478/

[6] Источник: http://geektimes.ru/post/260194/