פרצת פייסבוק מאפשרת לראות גם רשימת חברים שהגדרתם כפרטית

הפרצה שהתגלתה על ידי חברת אבטחת מידע ישראלית מאפשרת לכל אחד לראות את רשימת החברים שלכם, אפילו אם הגדרתם אותה כפרטית.

הצצה לרשימת החברים העילאיים והמתנשאים. מקור: צילום מסך

חברים עילאיים ומתנשאים: הצצה לרשימת החברים ה”סודית” של מארק צוקרברג. מקור: צילום מסך

בעקבות ביקורת הולכת וגוברת, החלה בשנה האחרונה פייסבוק לערוך שינויים בהגדרות הפרטיות שלנו, שכללו בין השאר אפשרות ברורה יותר לשליטה בהגדרות הפרטיות של פרטים אישיים ופוסטים שאנחנו מפרסמים. אולם פרצה חדשה, שהתגלתה על ידי חברת אבטחת המידע הישראלית cyberint, מוכיחה שוב עד כמה חשופים הפרטים האישיים שלנו, גם אלו שהגדרנו כחסויים. שי פריאל, שותף בחברה, סיפר לנו כי כבר עדכן את פייסבוק בנוגע לפרצה.

רוצים לדעת מי החברים הסודיים של מארק צוקרברג?

לכאורה, מאפשרת לכם פייסבוק להגדיר את רשימת החברים שלכם כפרטית, כך שרק אתם תוכלו לצפות בה (Only Me). הבעיה היא שאם אחד מחברי הרשימה הזו (שהוגדרה כאמור כפרטית) אינו מגדיר את רשימת החברים שלו כפרטית, החברים המשותפים לשניים – חשופים לכל. כך שכל אחד יכול למעשה לצפות בחלק מרשימת החברים שלכם. 

כך לדוגמה, לקחנו את מייסד פייסבוק, מארק צוקרברג. כפי שניתן לשער, רשימת החברים שלו פרטית. אחר כך, לקחנו את דרו יוסטון, מייסד DropBox, שדווקא חושף את רשימת חבריו (Public). על ידי לחיצה על הלינק הזה, הצלחנו לקבל את רשימת החברים המשותפים לשניים (למרות שכאמור, צוקי רצה לשמור על רשימת חבריו לעצמו). אם תרצו להצליב בעצמכם בין 2 משתמשי בפייסבוק, פשוט העתיקו את זה: https://www.facebook.com/RISHON/friends?and=SHENI והכניסו את שמות המשתמשים הרצויים (במקום RISHON ו-SHENI).

אוקיי, אז גילינו 72 חברים של מארק צוקרברג. זה עדיין לא חושף את כל החברים שיש לו, נכון? בערך. עכשיו, יש לנו נקודת התחלה ונוכל לחפש אחרי נקודת התורפה הבאה, כלומר, חבר משותף אחר של צוקרברג, שהשאיר את הגדרת הפרטיות של רשימת חבריו כ-Public ויחשוף לנו חברים משותפים אחרים.

כדי לעשות זאת נשתמש ב-Graph Search ונמצא למשל חברים משותפים של צוקרברג, שעובדים בפייסבוק וגרים בארה”ב. כך נקבל את רשימת החברים (“Related List”) שאיתה נעבוד. עכשיו, בואו נדמיין מצב היפותטי, שבו אין לנו עורך על הראש עם דדליינים, או צורך לישון, לאכול, להתקלח או שיהיה לנו חיים – היינו יכולים לכאורה לחפש כך בשיטת Brute Forceלהכניס ידנית חבר אחרי חבר, ולגלות כך לאט לאט את כל חבריו של צוקרברג. 

לעזרתנו, בא שוב פריאל, שפיתח את “Facebook Hidden Friends Crawler”, כלי פשוט שעושה חלק גדול מהתהליך המייגע הזה – בצורה אוטומטית. פריאל העלה את הקובץ ל-GitHub והוא זמין להורדה בלינק הזה.

בתגובה לפרצה נמסר מפייסבוק: “אנחנו לא רואים בזה שום בעיית פרטיות. כל משתמש שמשנה את הגדרת הפרטיות של רשימת חבריו, מקבל את ההסבר הבא: ‘זכרו: החברים שלכם שולטים במי יוכל לראות את רשימות החברים שלהם. אם אנשים יראו אתכם בטיימליין של חבר, הם יוכלו גם לראות אתכם בפיד, בחיפוש ובעוד מקומות בפייסבוק. הם יוכלו גם לראות חברים משותפים בטיימליין שלכם'”. לטעמנו, התגובה אולי מדוייקת מבחינה משפטית, אבל, המשתמש הפשוט שרואה בהגדרת הפרטיות “Only Me” עלול בהחלט לטעות ולחשוב שרשימת חבריו לא חשופה בפני כל.

כך נראה כלי ה-fb-hfc בפעולה:

יניב אביטל

עורך אתר גיקטיים, ובזמנו החופשי גיק, קופירייטר, אבא, חולה על גאדג'טים וקוד, לא בהכרח בסדר הזה

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: