В середині квітня протягом одного тижня в результаті не дуже легального використання легальних інструментів парсінгу (або веб-скрапінгу) засвітились дані користувачів Facebook, LinkedIn та ClubHouse. Це не був класичній витік даних, бо ця інформація користувачів лежала у вільному доступі, просто хтось її зібрав, впорядкував і представив в зручному вигляді.
В статті за посиланням вище Павло Бєлоусов з Digital Security School 380 пояснює, чому це проблема. А коли уже стаття чекала виходу, до неї ми з редактором додали ще два абзаци про те, що такі витоки стають новою нормою. І це не мій висновок, зроблений в результаті аналізу випадків, коли дані користувачів публікувалися в Мережі. Це елемент комунікаційної стратегії Facebook, який випадково став відомим данським журналістам.
У Facebook щиро вважають, що такі історії – це загальна проблема всього ринку соціальних мереж. І парсінг даних користувачів – це такий собі побічний ефект того, що користувачі надають соціальним платформам свої дані.
Умовно кажучи, ну ви ж користуєтеся безкоштовним інтернетом в обмін на рекламні оголошення? Так само прийміть, що користування соцмережами супроводжується неминучим злом про те, що ваші дані будуть гуляти по інтернету і стануть відомими всім, кому потрібно, і кому не дуже.
Мені складно оцінити, як відобразиться на інтересі до Facebook такі історії, але репутація у платформи уже така собі, а молодь давно вибирає не продукти Facebook. То ж така риторика не сприяє повазі користувачів, хоча такі історії з парсінгом та публікацією даних стають дійсно новою нормою.
На цьому можна було б завершити історію з Facebook-витоками, але два дні назад слова «Facebook» та «витік» і «вразливість» знову заполонили заголовки техноблогів та галузевих медіа.
Була виявлена нова вразливість, яка дозволяє пов’язати дані користувачів з електронними адресами, причому навіть тих, хто приховав свій мейл в налаштуваннях соцмережі. Це можна досягти за допомогою інструменту Facebook Email Search v1.0.
Він дозволяє завантажити в програму базу даних електронних адрес, програма порівнює ці мейли з даними користувачів Facebook та знаходить спів падання, видаючи в результаті зв’язку емейл + Facebook-ідентифікатор.
Експерт з безпеки, який знайшов цю вразливість, звернувся до компанії Facebook, проте там не визнали її серйозною та такою, яка достойна виправлення. Якщо додати отримані дані в результаті роботи Facebook Email Search v1.0 до попереднього витоку, то можна сформувати дуже детальний портрет практично будь-якого користувача соцмережі, який міститиме все можливі – відкриті й не дуже – його дані.
Ці історії насправді показують зайвий раз, що ми зовсім не управляємо даними, які ми залишаємо в Мережі і доводять, що все, що потрапило в онлайн, в будь-який момент, навмисне чи випадково, може стати доступним на загал, не дивлячись на настройки приватності чи якісь обмеження.
Цікаво, чи дадуть ці історії поштовх на появу супер-захищених офлайнових сховищ даних? Бо довіряти онлайновим, як бачите, немає змісту.