Поборники приватности ополчились на генерального директора Facebook Марка Цукерберга (Mark Zuckerberg) после его заявления на прошлой неделе о том, что инструмент обратного поиска соцсети мог скомпрометировать данные двух миллиардов пользователей.

Функция позволяла находить друзей по номеру телефона и адресу электронной почты. Однако, согласно последним сообщениям представителей Facebook, злоумышленники эксплуатировали ее для скрейпинга данных. Жертвами могли стать миллионы человек. На сегодняшний день обратный поиск уже отключен. Об этом Цукерберг заявил еще в прошлую среду на пресс-конференции, посвященной политике конфиденциальности компании.

«Многие пользователи Facebook огорчены сложившейся ситуацией, и не без основания. Однако в конечном счете мораль истории сводится к тому, что людям следует тщательнее взвешивать, какой информацией и с кем они делятся, — считает Крэйг Янг (Craig Young), эксперт по компьютерной безопасности команды по исследованию уязвимостей компании Tripwire. — Этот случай лишний раз показывает, насколько важно знакомиться с содержанием запроса, прежде чем нажимать ОК».

Активируемая с согласия пользователей функция раскрыла огромную брешь в безопасности, благодаря которой киберпреступники добывали информацию, необходимую для организации целевых атак. Как сообщил сам Цукерберг, компании известно о ряде попыток вредоносного сбора данных через эту функцию одним или несколькими третьими лицами. «Мы сталкивались со случаями скрейпинга. Полагаю, если вы включили эту функцию, в какой-то момент кто-то с ее помощью мог получить доступ к вашим публичным сведениям», — отметил он.

Технический директор Facebook Майк Шрепфер (Mike Schroepfer) сообщил, что компания уже отключила функцию обратного поиска и намерена пересмотреть механизм восстановления аккаунтов, чтобы снизить вероятность скрейпинга.

По мнению Коби Килимника (Koby Kilimnik), ИБ-эксперта компании Imperva, методы борьбы с незаконным сбором данных существуют, «но конечному пользователю не следует на них надеяться, когда он что-то публикует на каком бы то ни было сайте».

«Даже если информация из вашего профиля частично закрыта от публичного просмотра на Facebook или в другой соцсети, ваши друзья и знакомые могут раскрыть ее, скопировав на публичный домен, — полагает эксперт. — Это не значит, что в Интернете ничем нельзя делиться, но мы должны отдавать себе отчет о последствиях и предупреждать о них других, чтобы люди распоряжались приватными данными осознанно».

Общественность ополчилась на компанию Facebook еще в марте, когда выяснилось, что с 2015 года одно из приложений передавало информацию о миллионах пользователей консалтинговой компании Cambridge Analytica, работавшей над несколькими резонансными политическими кампаниями.

Исследователь Фонда электронных рубежей Дженни Гебхарт (Gennie Gebhart) в интервью с Threatpost высказала мнение, что проблемы конфиденциальности будут возникать, пока третьи лица могут обращаться к данным на Facebook.

«Дело не в злоумышленниках и не в сторонних разработчиках. Дело в том, что Facebook формирует, хранит и развивает эффективную инфраструктуру для доступа к беспрецедентному объему сведений о пользователях. Пока это не изменится, вопросы приватности никуда не денутся», — полагает она.

Цукерберг в свою очередь в среду подчеркнул, что конфиденциальность и защита личных данных станут приоритетной задачей для Facebook.

«Мы не можем просто дать возможность людям высказаться, этого мало. Мы должны убедиться, что слова одних людей не навредят и не дезинформируют других. Мы не можем просто создать площадку для чужих приложений, мы должны проследить, что их разработчики тоже защищают пользовательские данные», — заявил Цукерберг.

Скандал с Facebook показал, что ИБ-отрасль относится к приватности сведений в соцсетях с большим скепсисом.

«Ряд недавних заявлений Facebook затрагивает вопрос защиты данных аккаунтов от сторонних разработчиков, но в них ничего не говорится о защите людей от самой платформы. Если не брать во внимание один-два резонансных случая, в своих выступлениях руководство Facebook ни разу не обещало отказаться от сбора информации о пользователях и ее хранения», — отметила Гебхарт.

Категории: Главное, Кибероборона, Уязвимости