Szerző: Dojcsák Dániel

2011. szeptember 26. 14:39:00

Akkor is kémkedik a Facebook, ha kijelentkezünk

Mindenki nyugodtan kattintgatott a weben miután kijelentkezett a közösségi oldalakról, s biztos lehetett benne, hogy a profiljába nem gyűltek tovább az adatok. Nik Cubrilovic hacker és fejlesztő felfedezése szerint viszont a Facebook akkor is a nyomunkban van, ha kilépünk.

A Facebook egyik legfontosabb lépése volt, hogy a weboldalakon elhelyezett gombjaival, mérőkódokkal felhasználóinak mozgását követni kezdte saját felületén kívül is. A tartalomszolgáltatók nagy része örömmel integrálta be oldalába a “like” gombot, ami valójában egy statisztikai mérőeszköz is egyben. Ugyan a weboldal tulajdonosai soha nem fognak hozzájutni a saját tartalmuk Facebook által mért forgalmi statisztikáihoz, pedig a Facebook akár név szerint képes lenne megmondani, hogy ki és mikor látogat adott oldalakat, az oldalak mégis vállalják ezt hiszen többlet forgalmat kapnak a közösségi hálózatból és nagyon könnyen gazdagíthatják így az oldalukon elérhető funkciók listáját.

Paranoia

A Facebook gombjaihoz hasonló elemzést végez a Google Analytics is, azzal a különbséggel, hogy azt a látogatottság elemzésére tervezték, a webmesterek ezen keresztül ellenőrizhetik és hangolhatják oldaluk működését. A Google a weboldalak jelentős részének látogatottsági statisztikáival rendelkezik, de a hivatalos tájékoztatás szerint ezeket az adatokat nem kapcsolja össze, harmadik fél számára nem teszi elérhetővé és a leírt célokon kívül másra nem használja.

A Facebook esetében ilyen kétoldalú szerződéses viszonyról nincs szó, a kódokat bárki beillesztheti oldalába, sőt arra sincs szükség, hogy ez megtörténjen, a megosztott linkeket és a mögötte lévő tartalmakat is feldolgozza a Facebook. A látogatási adatok viszont közvetlenül beazonosítható személyek profiljába kerülnek be, ráadásul az esetek jelentős részében ezek publikussá is válnak. Az eddig hitt gyakorlat az, hogy a Facebook által használt cookie egyben a bejelentkezésre is szolgált, illetve úgynevezett “tracking”, azaz követő feladatot is ellátott - ha valaki kijelentkezik a Facebook-fiókjából, akkor a követés is megszűnik - és valóban nem találkozhattunk olyan esettel, hogy a Facebookról való kijelentkezés után tudtunk volna oldalakat lájkolni, vagy azzal, hogy kijelentkezve is saját barátaink lájkjait láthattuk külső oldalakon.

Akkor is szivárog az adat, ha nem akarjuk

A múlt héten bejelentett Open Graph protokoll révén megvalósuló automata megoldások vizsgálata közben Nik Cubrilovic fejlesztő, vállalkozó, hacker és alkalmanként szakszerző viszont egészen meglepő dolgokra bukkant. A tesztek szerint az új rendszerben a tracking cookie és a beléptető cookie különvált, az előbbi akkor is működik, ha a felhasználó kijelentkezett a Facebookról, mivel  tartalmazza az egyedi azonosításra alkalmas információkat, a Facebook-fiók azonosítószámát.

Ez azt jelenti, hogy annak ellenére, hogy kijelentkezik valaki, a külső weboldalakba ágyazott kódok továbbra is képesek személyhez köthető adatokat visszaküldeni a Facebooknak.Cubrilovic szerint “a böngészővel kijelentkezve bármilyen oldalt meglátogatásakor, ahová be van fűzve a like gomb, megosztás gomb vagy bármilyen Facebook-widget, a személyes információk, kezdve a fiók azonosítószámmal, továbbra is elküldésre kerülnek”. Majd a hacker hozzátette, hogy “Az információkat biztosan eltárolják, azzal kapcsolatban, hogy mit kezdenek velük, viszont csak spekulálni lehet”.

ONLINE Scrum és gépi tanulás meetupjaink indulnak! Jelentkezik az ingyenes HWSW free!, immár online formátumban.

A Facebook egyik mérnöke, Arturo Bejar, a Venture Beat ezt a témát feldolgozó cikkének fórumában azt írta, hogy a cég csupán arra használja a kijelentkezés után is aktív cookiet, hogy védekezzen a spam, phishing és egyéb veszélyek ellen. Illetve érvként hozta fel azt is, hogy kijelentkezve a Facebook nem is küld vissza a social pluginon keresztül információkat a felhasználónak, se nem használja azt hirdetési célzásra és az adatokat nem teszi elérhetővé harmadik fél számára sem. Cubrilovic állításai viszont tények, a HTTP fejlécek elemzésén alapulnak.

A hacker szerint az eset könnyedén reprodukálható bárki által, aki böngészőjéhez feltelepíti a szükséges eszközöket, amivel a weboldalak által kreált forgalmat lehet naplózni. Amennyiben a szakértőnek igaza van, akkor a közösségi oldal súlyosan megsérti a személyes jogokat, még anélkül is, hogy az Open Graph folyamatosan jelenteni szeretné a felhasználók aktivitását.

Kit érdekel?

Az oldal 800 milliós közönségének túlnyomó részét valószínűleg nem fogja zavarni ez a probléma sem, ahogyan az összes korábbi adatvédelmi vagy személyiségi jogi malőr felett is könnyen átsiklott a közvélemény. Látszólag a használatot egyáltalán nem befolyásolja negatívan semmilyen fiaskó, sem a folyamatosan változó, (érthető módon) egyre inkább a kereskedelmi célokat kiszolgáló felület, sem a néhány havonta módosított privát beállítási lehetőségek.

Eddig egyetlen újítás volt, amit nem lehetett lenyomni a felhasználók torkán, mégpedig a néhány évvel ezelőtti Beacon funkció - a felhasználók akkor nem tudták megemészteni, hogy a közvetlen beleegyezésük vagy konkrét gombnyomás nélkül szülessenek róluk posztok, így a Facebook vissza is vonultatta ezt a szolgáltatást. Azóta viszont felhígult a közösség és már nem csak az online világban rutinos huszonéves egyetemista és irodista közeg használhatja az oldalt, hanem a társadalomnak a kevésbé tudatos, figyelmes részei is.

Ha a kipattant probléma nem változtatná meg a Facebook hozzáállását és továbbra is működő marad a kijelentkezés után is aktív követő cookie, akkor a felhasználók kénytelenek lesznek a böngészőiket inkognitó módban használni, vagy minden alkalommal a cookiekat törölni, esetleg a NoScript vagy AdBlock böngésző pluginekkel tiltani konkrétan ezt az elemet. A felfedezés teljes és alapos leírása Cubrilovic blogján érhető el.

a címlapról