Facebook: Έρχεται νέο σκάνδαλο με διαρροή διευθύνσεων email

Το Facebook έπειτα από τη διαρροή δεδομένων 553 εκατομμυρίων χρηστών σε 106 χώρες στην αρχή του μήνα, είναι με το ένα πόδι πριν υποπέσει σε νέο σκάνδαλο. Η ιστοσελίδα Ars Technica ανέδειξε τη δουλειά ενός ερευνητή ασφαλείας, που θέλησε να διατηρήσει την ανωνυμία του, ο οποίος ενημέρωσε πρώτα την εταιρία για το κενό ασφαλείας και αφού είδε πως δεν τον αντιμετωπίζουν σοβαρά αποφάσισε να παρουσιάσει τα ευρήματα του.

Συγκεκριμένα έστειλε ένα βίντεο  – παρουσίαση του εργαλείου Facebook Email Search v1.0 το οποίο μπορεί να μαζεύει 5 εκατομμύρια διευθύνσεις email ημερησίως από το κοινωνικό δίκτυο και να τις συσχετίζει με τους αντίστοιχους λογαριασμούς των χρηστών, ακόμη και αν οι τελευταίοι δεν έχουν ανοικτά δημόσια (public) τα προφίλ τους. Η ιστοσελίδα δέχθηκε το βίντεο αλλά ο ερευνητής είχε θέσει όρο να μη δημοσιευθεί.

Όμως παραθέτει γραπτώς όσα λέει στο βίντεο:

«Αυτό που θα ήθελα να σας δείξω είναι μια ενεργή ευπάθεια στο Facebook που επιτρέπει σε καλοθελητές να “τραβούν” διευθύνσεις email από το κοινωνικό δίκτυο και να τους συσχετίζουν με τους αντίστοιχους λογαριασμούς των χρηστών.

Έχω ενημερώσει για την ευπάθεια τη Facebook, αλλά μάλλον δεν τη θεωρούν σημαντική για να την κλείσουν με κάποιο patch. Θεωρώ ότι είναι μια ιδιαίτερα σημαντική παραβίαση της ιδιωτικότητας και θα εξελιχθεί σε μεγάλο πρόβλημα.

Κατάφερα να εξάγω αυτά τα αποτελέσματα με ένα λογισμικό που είναι ήδη διαθέσιμο στην κοινότητα των hackers. Αυτή την περίοδο χρησιμοποιείται με σκοπό να πάρουν τον έλεγχο διάφορων Pages, Groups και διαφημιστικούς λογαριασμούς για προφανείς λόγους. Έχω δοκιμάσει το λογισμικό σε μεγάλη κλίμακα και έχει τη δυνατότητα να τραβά έως 5 εκατομμύρια διευθύνσεις email καθημερινά.

Υπήρχε μια παρόμοια ευπάθεια στο Facebook νωρίτερα μέσα στη χρονιά, η οποία είχε επιδιορθωθεί με patch. Αυτή που αναφέρω τώρα είναι ουσιαστικά μια συγγενής ευπάθεια που για κάποιο λόγο δεν έχουν σκοπό να κλείσουν. Μου είπαν απευθείας ότι δεν σκοπεύουν να κάνουν κάτι.

Γι’ αυτό στρέφομαι σε εσάς (σ.σ. στο Ars Technica) με την ελπίδα ότι θα εκμεταλλευτείτε την επιρροή σας και τις επαφές σας για να κλείσει αυτό το κενό. Είμαι σίγουρος ότι δεν πρόκειται απλά για ένα τεράστιο κενό ασφαλείας, αλλά θα οδηγήσει μεσοπρόθεσμα στη διαρροή ακόμα μίας μεγάλης βάσης δεδομένων που θα περιλαμβάνει διευθύνσεις email και τους λογαριασμούς Facebook με τους οποίους συνδέονται (τα Facebook IDs)».

Η πρώτη αντίδραση της Facebook αφότου πήρε δημοσιότητα το θέμα είναι η εξής:

«Φαίνεται ότι λανθασμένα προσπεράσαμε αυτήν την αναφορά προτού ασχοληθεί μαζί της η αρμόδια ομάδα. Είμαστε ευγνώμονες στον ερευνητή που μοιράστηκε αυτές τις πληροφορίες μαζί μας, έχουμε ξεκινήσει ήδη τις διαδικασίες για να κατανοήσουμε καλύτερα τα ευρήματα του και φυσικά για να διορθώσουμε το πρόβλημα».