Το Facebook έχει επεκταθεί σε άπειρους τομείς της πληροφορικής και αυτό το rapid scaling φαίνεται να του δημιουργεί ιδιαίτερα ζητήματα στην ποιότητα των υπηρεσιών που παρέχει στους χρήστες του.
Την τελευταία εβδομάδα υπέπεσαν στην αντίληψή μας δύο ιδιαίτερα σοβαρά λάθη του διάσημου κοινωνικού δικτύου τα οποίο εξέθεσαν την ασφάλεια των εφαρμογών του. Συγκεκριμένα, μια ιδιαίτερα κακή πρακτική εξακρίβωσης στοιχείων των χρηστών και μια τρομακτικά αφελής αποθήκευση credential χρηστών σε servers της Amazon πλήττουν την εικόνα για το διάσημο δίκτυο.
Η συνήθης πρακτική εξακρίβωσης στοιχείων
Το μεγαλύτερο ποσοστό των online υπηρεσιών απαιτεί από τους νέους εγγεγραμμένους χρήστες να επιβεβαιώσουν την ταυτότητά τους είτε με κάποιο κρυφό κωδικό ο οποίος τους αποστέλλεται ή με τη χρήση ενός μοναδικού URL το οποίο γεννάται από το user id του χρήστη και πιστοποιεί την ταυτότητά του.
Το Facebook όμως αποφάσισε πως μια τέτοια πρακτική δεν το εξυπηρετούσε ιδιαίτερα (προφανώς) και επέλεξε να ζητά από μια μερίδα νεοεγγραφόμενων χρηστών στην πλατφόρμα να εισάγουν στο Facebook το κωδικό της υπηρεσίας email την οποία χρησιμοποιούσαν και διάλεξαν για να εγγραφούν στο κοινωνικό δίκτυο(!!!).
Κατά πως φαίνεται, το Facebook ζητά από τους χρήστες που εγγράφονται με κάποιον λογαριασμό mail που δεν παρέχεται από διάσημους hosts (όπως Google, Microsoft, Yahoo κτλ) τα στοιχεία τους, και όχι από το σύνολο των νέων χρηστών.
Το σφάλμα είναι ιδιαίτερα σοβαρό αν κανείς αναλογιστεί πως δύο εβδομάδες πριν διαπιστώθηκε πως περίπου 2,000 εργαζόμενοι του Facebook είχαν πρόσβαση σε plain-text κωδικούς χρηστών εδώ και αρκετά χρόνια.
Σε απροστάτευτους servers της Amazon αποθηκεύονταν στοιχεία χρηστών του Facebook
Η κοινότητα του Facebook βασίζεται ιδιαίτερα στους third party προγραμματιστές οι οποίοι εμπλουτίζουν συνεχώς την πλατφόρμα με νέες λειτουργίες και εφαρμογές. Το γεγονός ότι η ανάπτυξη μιας εφαρμογής η οποία θα τρέχει στο Facebook έχει γίνει μια εύκολη σχετικά διαδικασία χάρη στο Graph API του διάσημου δικτύου άνοιξε δρόμους σε προγραμματιστές για τη δημιουργία περίπλοκων εφαρμογών.
Κατά πως φαίνεται όμως, το κίνημα αυτό λειτουργεί ενάντια στην ασφάλεια των χρηστών καθώς δεν είναι λίγοι οι προγραμματιστές εφαρμογών οι οποίοι εφαρμόζουν ιδιαίτερα φτωχά μέτρα ασφάλειας γύρω από τις εφαρμογές τους.
Ερευνητές ασφαλείας από την UpGuard ανακάλυψαν δύο ενδιαφέροντα datasets τα οποία ήταν αποθηκευμένα σε απροστάτευτους servers του Amazon AWS Cloud. Το πρώτο προερχόταν από μια μεξικανική φίρμα παραγωγής media, με τον τίτλο Cultura Colectiva και το δεύτερο από την εφαρμογή At the pool.
Το πρώτο dataset είναι ιδιαίτερα εντυπωσιακό με τουλάχιστον 146GB πληροφοριών για χρήστες συμπεριλαμβανομένων όλων των δραστηριοτήτων τους(likes, reactions, σχόλια, ονόματα λογαριασμών και facebook ID’s) ενώ στο δεύτερο dataset εντοπίζουμε φυσικές διευθύνσεις, plaintext κωδικούς και email διευθύνσεις τουλάχιστον 22,000 χρηστών.
Το Facebook κρίνεται απαραίτητο να προσεγγίσει το ζήτημα της ασφάλειας των χρηστών διαφορετικά καθώς από τον περασμένο Μάρτη και με την αποκάλυψη του σκανδάλου του Cambridge Analytica φαίνεται να έχει πάρει την κατιούσα. Η αυστηρότερη πρόσβαση του API του σε third party προγραμματιστές, όπως σκοπεύει να πράξει το Twitter, αλλά και η ορθότερη προσέγγιση στην αποθήκευση και την μετάδοση των κρίσιμων πληροφοριών των χρηστών φαίνεται να είναι άκρως σημαντική.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.