Egy héttel ezelőtt arról számoltunk be a Biztonságportálon, hogy a Facebook újabb funkciókkal egészítette ki a felhasználók hitelesítésére valamint bejelentkeztetésére szolgáló rendszerét, és lehetőséget teremtett arra, hogy kontrolláltabban lehessen követni, hogy egy adott felhasználói fiókot mely számítógépről vagy mobil eszközről vették használatba. Ugyancsak a múlt héten adtunk hírt arról is, hogy a Facebook egyik biztonsági csapata leleplezte azt a hekkert, amely nagy mennyiségben kereskedett az interneten különféle Facebook fiókokhoz tartozó bizalmas adatokkal. Azonban az azóta eltelt néhány napban további számos olyan biztonságot érintő esemény, bejelentés történt a Facebookkal és az egyéb közösségépítőkkel kapcsolatban, amelyekből ezúttal is összeállíthatóvá vált egy kis hírcsokor.
Befoltozott biztonsági rés
A Facebook bejelentette, hogy a hét végére megszüntette azt a sebezhetőséget, amelyet nemrégen Steven Abbagnaro főiskolai hallgató fedezett fel. A hiba egy korábbi sérülékenységre volt visszavezethető, és a kihasználásával a támadók jogosulatlanul törölhették ki az áldozatul esett felhasználói fiókokhoz tartozó kapcsolatokat. A Facebook elismerte, hogy egy cross-site request forgery sebezhetőségről volt szó, és közölte, hogy azt az eddigi információk szerint senki sem használta ki. Biztonsági kutatók ugyanakkor kritizálták a Facebookot, amiért viszonylag lassan foltozta be a biztonsági rést, amelyet ráadásul egy egyszerű programozói hiba okozott. A Facebook a kritikákra úgy reagált, hogy azért kellett ennyi idő a hiba orvoslásához, mert egy teljes auditot hajtott végre, és a rendszerébe olyan védelmi mechanizmusokat is beépített, amely segít megakadályozni a hasonló rendellenességek jövőbeni újabb felbukkanását.
Egyre több felhasználó aggódik
A Sophos a napokban adta ki azt a felmérését, amelyet 1600 felhasználó megkérdezésével állított össze. A biztonsági cég beszámolójából kiderült, hogy a megkérdezettek 16 százaléka adatbiztonsági aggodalmak miatt már nem veszi igénybe a Facebook szolgáltatásait. A válaszadók 30 százaléka nagyon valószínűnek tartja, hogy a biztonsági problémák miatt ott fogja hagyni a közösségépítőt, míg a 30 százalékuk fontolóra fogja venni mindezt. A felmérésben résztvevők 24 százaléka pedig mindáron kitart a facebookozás mellett, vagy legalábbis nem valószínűsíti, hogy biztonsági okok miatt elpártolna a közösségépítőtől.
Graham Cluley, a Sophos biztonsági szakértője szerint a felmérés jól alátámasztja azt, hogy a felhasználók egy jelentős része aggódik az adatbiztonsági problémák miatt. A Sophos ugyanakkor arra is felhívta a figyelmet, hogy a vizsgált felhasználói csoportokon belül meglehetősen eltérő a biztonságtudatosság mértéke. A legtöbb aggodalom - nem túl meglepő módon - az informatikusok és a biztonsági területeken dolgozó szakemberekben van.
Kíváncsiskodó hirdetések
A múlt hét végén egy újabb problémára derült fény, amely már korántsem csak a Facebookot érinti. A Wall Street Journal ugyanis egy cikkében arról számolt be, hogy értesülései szerint a legnépszerűbb közösségépítők és egyéb webes szolgáltatások üzemeltetői olyan adatokat is megosztottak egyes hirdetőkkel, amelyek visszakövethetővé tették a felhasználókat. Mindez úgy valósult meg, hogy a reklámozók a szokásos bannerekre való kattintásokkal kapcsolatos statisztikák mellé felhasználói azonosítókat vagy felhasználóneveket is kaptak. Emiatt felmerül az a probléma, hogy a hirdető közvetlenül is felkereshet olyan személyeket, akik például a bannerjére kattintottak valamely kampányban. Mivel többnyire közösségépítőkről van szó, ezért a hirdetők a felhasználónevek alapján kideríthetik, hogy az érdeklődő hol él, mi a valós neve, stb. (függően attól, hogy az adott felhasználó milyen adatokat osztott meg saját magáról.)
A Wall Street Journal szerint az ügy kapcsán tett vizsgálódás után a Facebook és a MySpace már módosított a rendszerén. Azonban a hírek szerint az eset kapcsán érintett lehet még többek között a LiveJournal, a Hi5, a Xanga, a Digg és a Twitter is. Az amerikai PC World munkatársai szerint az érintett webhelyek adatbiztonsági irányelveinek áttanulmányozásakor kiderült, hogy a reklámozók felé történő személyes adatok átadása ellent mond a szabályzatokban foglaltaknak, ugyanis ilyen információkat csak a felhasználók tudtával és beleegyezésével lehetne harmadik fél számára kiadni.
A cikk a Computerworld biztonság rovatában jelent meg.