חושבים שאתם בטוחים תחת הגדרות הפרטיות שלכם בפייסבוק? תחשבו שוב. הנתונים שלכם חשופים לכל, ועתה מסתבר שהם יכולים לשמש גם האקרים, אם רק ירצו בכך.
רון בווס, חוקר מתחום אבטחת המידע, כתב קוד המאפשר להוריד את הנתונים מתיקיית המשתמשים של פייסבוק, המשמשת כאינדקס ציבורי ופתוח של כל הפרופילים באתר. האינדקס אינו חושף את כל הנתונים בפרופיל המשתמש, אלא רק את אותם נתונים שהוגדרו כציבוריים על ידי המתשמש. באמצעות הקוד, בווס הוריד פרטים של מיליון משתמשי פייסבוק - ואת הקובץ המכיל את הפרטים הוא העלה באתרי שיתוף קבצים, במשקל 2.79 ג'יגה בייטס. לפי דיווח של ה-BBC, יותר מאלף איש כבר הורידו את הקובץ מאתר פיירט ביי.
הנתונים שחושפת תיקיית המשתמשים כוללים שם משתמש, תמונת פרופיל ודגימה קטנה מרשימת החברים של המשתמש. למי שחושב כי הגדרת הנתונים שלו כפרטיים בפרופיל תמנע את הופעתו באינדקס , חשוב להגיד כי חברים שלו עדיין יכולים לחשוף אותו במסגרת הפרופיל שלהם. כלומר, כדי למנוע באופן מוחלט את הופעתכם הציבורית באינדקס של פייסבוק תצטרכו לוודא כי כל החברים שלכם מגדירים את רשימת החברים שלהם כפרטית. נשמע מסובך ובלתי אפשרי? נכון. אל תשכחו כי זו המטרה. פייסבוק ללא שיתוף ציבורי של נתונים היא עוד אתר היכרויות ברשת ולא יותר.
אז יודעים איך קוראים לנו, מה הנזק? ובכן, שימו לב
אם נשים בצד את הפרנויות (המוצדקות בחלק מהמקרים) ונסתכל לבעיית הפרטיות הזו בלבן של העיניים, נוכל להסיק כי במרבית המקרים אין רע בכך שיודעים את השם שלנו ואיך אנו נראים. בסך הכל קיימים עוד מקומות ברשת מהם ניתן לקחת שמות פופולריים, כמו ה- Social Security Administration. אבל מה שהופך את הנתונים החשופים בפייסבוק למכרה זהב של האקרים היא העובדה כי רשימת המשתמשים כוללת גם שם וגם שם משפחה. רון לקח את צמדי השמות הכי נפוצים ובנה מהם רשימה של שמות משתמש פוטנציאליים - כאלה שיכולים לשמש האקרים שמנסים לפצח סיסמאות - והנה היא לפניכם:
• 129,369 jsmith
• 79,365 ssmith
• 77,713 skhan
• 75,561 msmith
• 74,575 skumar
• 72,467 csmith
• 71,791 asmith
• 67,786 jjohnson
• 66,693 dsmith
• 66,431 akhan
לא פרצה באבטחה - אבל בהחלט נקודה למחשבה
חשוב להבין כי למרות מה שרון עשה האינדקס של פייסבוק לא נחשב לפרצה באבטחה. אתר פייסבוק תוכנן מראש לחשוף נתונים של גולשים כדי לעודד את השיתוף ביניהם. הבעיה היא כי לא כל המשתמשים מבינים או מודעים לסיכון הכרוך בהחלטה שלהם לחשוף נתונים מהפרופיל האישי שלהם; ייתכן ורבים מהם בכלל לא יודעים על קיומו של האינדקס הציבורי או על האפשרות שלהם להפוך את נתוני הפרופיל לפרטיים.
נראה שהפתרון היחיד לבעיה הזו היא שינוי ברירת המחדל של פרופילים מפתוחים לסגורים. פייסבוק מסתתרת מאחורי העובדה כי סיפקה למשתמש כלים להגביר את הפרטיות שלו אבל מה עם אלו שלא מסתדרים לבד? האם העונש שלהם היא חשיפה באינדקס? דבר אחד בטוח: בכך שפייסבוק לא משנה את ברירת המחדל של פרופיל המשתמש, היא בעצם עוזרת להאקרים להבין יותר טוב את הקורבנות שלהם: הלקוחות שלה.