რომელ კინოვარსკვლავს ჰგავხართ? ვინ იყავით წინა ცხოვრებაში? 90-იანების რომელი სიმღერა შეგეფერებათ? - თუ ერთხელ მაინც გაგიკეთებიათ ასეთი ტესტი Nametests-ისგან, მილიონობით სხვა ფეისბუქ მომხმარებელთან ერთად თქვენი მონაცემებიც შესაძლოა, საფრთხის ქვეშ აღმოჩნდა. ტესტების პოპულარულმა აპლიკაციამ, რომლის მომხმარებლის რაოდენობა თვეში 120 მილიონს აღწევს, მათი პერსონალური მონაცემები მესამე პირებისთვის ხელმისაწვდომი გახადა.
ყველაფერი იმით დაიწყო, რომ ჰაკერმა სახელად Inti De Ceukelaire, რომელიც საკუთარ თავს ეთიკურ ჰაკერს უწოდებს, გადაწყვიტა შეემოწმებინა, როგორ ამუშავებენ ფეისბუქზე მოქმედი სხვადასხვა აპლიკაციები მომხმარებლის მონაცემებს. გააკეთა ტესტი სახელწოდებით: „დისნეის რომელი პრინცესა ხარ?“ და საინტერესო ფაქტი აღმოაჩინა: მისი პერსონალური მონაცემები, მათ შორის: სახელი, გვარი, ენა, სქესი, დაბადების თარიღი, პროფილის ფოტო, ქავერ ფოტო, პოსტები და სტატუსები, ფოტოები და მეგობრების შესახებ ინფორმაცია Javascript-ის მეშვეობით მუშავდებოდა. ეს კი იმას ნიშნავს, რომ ინფორმაცია დაინტერესებული მესამე პირებისთვის მარტივად ხელმისაწვდომი ხდებოდა.
“ჩვეულებრივ ვითარებაში სხვა ვებსაიტებს ამ მონაცემებზე წვდომა არ ექნებოდათ. ვებ ბრაუზერებს აქვთ საწინააღმდეგო მექანიზნები. მაგრამ Javascript გამონაკლისია. გაზიარება მისი ერთ-ერთი მთავარი პრინციპია. შესაბამისად, ნებისმიერი საიტი მოთხოვნის შემთხვევაში ამ მონაცემებს უპრობლემოდ მიიღებდა“ - წერს ჰაკერი თავის ბლოგპოსტში Medium.com-ზე.იმის საილუსტრაციოდ, რა მარტივია Nametests-ის მომხმარებლის მონაცემების მოპოვება, ჰაკერმა თავადვე შექმნა ვებსაიტი, მოითხოვა ინფორმაცია Nametests-ის ფაილიდან და ამის ამსახველი სპეციალური ვიდეოც მოამზადა
რა მონაცემები გამჟღავნდა და რა რაოდენობით?
იმის მიხედვით, თუ რომელი ტესტი გააკეთეთ, javascript-ს შეუძლია გაამჟღავნოს თქვენი ფეისბუქის ID - სახელი, გვარი, ენა, სქესი, დაბადების თარიღი, პროფილის ფოტო, ქავერ ფოტო, მოწყობილობები რომელსაც იყენებთ, როდის განაახლეთ ინფორმაცია, თქვენი პოსტები და სტატუსები, ფოტოები და მეგობრების შესახებ ინფორმაცია“ - ნათქვამია De Ceukelaire-ის ბლოგპოსტში. მისივე ინფორმაციით, მონაცემები ამ ფორმით 2016 წლის ბოლოდან ინახებოდა, რაც იმას ნიშნავს, რომ პრაქტიკულად ვერავინ დაადგენს რა რაოდენობის მომხმარებლის მონაცემების კომპრომეტირებაზეა საუბარი.
რატომ არის ეს საფრთხის შემცველი?
ვებგვერდს, რომელსაც ხელი მიუწვდება მილიონობით მომხმარებლის პირად მონაცემებზე, შეუძლია ეს ინფორმაცია სხვადასხვა მიზნით გამოიყენოს. ტარგეტირებული, მათ შორის პოლიტიკური რეკლამისთვის, სხვადასხვა მონაცემთა ბაზისთვის, უარეს შემთხვევაში შანტაჟისთვისაც კი - ამბობს "ეთიკური ჰაკერი". ეს ფაქტი კიდევ ერთხელ უსვამს ხაზს, რამდენად რთულია იმის კონტროლი, თუ რისთვის იყენებენ მომხმარებლის პერსონალურ მონაცემებს ერთი შეხედვით უწყინარი ფეისბუქ აპლიკაციები.
რას ამბობენ ფეისბუქი და Nametests?
De Ceukelaire-მ საკუთარი აღმოჩენის შესახებ ინფორმაცია ფეისბუქს მიაწოდა, დაახლოებით 1 თვეში კი შეიტყო, რომ აპლიკაციამ მონაცემთა დამუშავების მეთოდები შეცვალა და ხარვეზები გამოასწორა. ჰაკერი ფეისბუქს ახალი პლატფორმის, Data Abuse Bounty-ს ფარგლებში დაუკავშირდა, რომელიც მონაცემთა არასწორი გამოყენების გამოვლენაში დახმარებისთვის მოქალაქეებს ჯილდოს ჰპირდება და პრესის თავისუფლების ფონდში გადასარიცხად 8000 დოლარიც მოიპოვა.რაც შეეხება Nametests-ის შემქმნელ კომპანია Social Sweethearts-ს, მათ განაცხადეს, რომ გამოძიებამ არ დაადგინა მომხმარებლის მონაცემების არასანქცირებული წვდომა და გამოყენება.
როგორ დავიცვათ თავი ჩვენი მონაცემების კომპრომეტირებისგან?