Akkor is kémkedik a Facebook, ha kijelentkezünk

A Facebook egyik legfontosabb lépése volt, hogy a weboldalakon elhelyezett gombjaival, mérőkódokkal felhasználóinak mozgását követni kezdte saját felületén kívül is. A tartalomszolgáltatók nagy része örömmel integrálta be oldalába a “like” gombot, ami valójában egy statisztikai mérőeszköz is egyben. Ugyan a weboldal tulajdonosai soha nem fognak hozzájutni a saját tartalmuk Facebook által mért forgalmi statisztikáihoz, pedig a Facebook akár név szerint képes lenne megmondani, hogy ki és mikor látogat adott oldalakat, az oldalak mégis vállalják ezt hiszen többlet forgalmat kapnak a közösségi hálózatból és nagyon könnyen gazdagíthatják így az oldalukon elérhető funkciók listáját.

Paranoia

A Facebook gombjaihoz hasonló elemzést végez a Google Analytics is, azzal a különbséggel, hogy azt a látogatottság elemzésére tervezték, a webmesterek ezen keresztül ellenőrizhetik és hangolhatják oldaluk működését. A Google a weboldalak jelentős részének látogatottsági statisztikáival rendelkezik, de a hivatalos tájékoztatás szerint ezeket az adatokat nem kapcsolja össze, harmadik fél számára nem teszi elérhetővé és a leírt célokon kívül másra nem használja.

A Facebook esetében ilyen kétoldalú szerződéses viszonyról nincs szó, a kódokat bárki beillesztheti oldalába, sőt arra sincs szükség, hogy ez megtörténjen, a megosztott linkeket és a mögötte lévő tartalmakat is feldolgozza a Facebook. A látogatási adatok viszont közvetlenül beazonosítható személyek profiljába kerülnek be, ráadásul az esetek jelentős részében ezek publikussá is válnak. Az eddig hitt gyakorlat az, hogy a Facebook által használt cookie egyben a bejelentkezésre is szolgált, illetve úgynevezett “tracking”, azaz követő feladatot is ellátott - ha valaki kijelentkezik a Facebook-fiókjából, akkor a követés is megszűnik - és valóban nem találkozhattunk olyan esettel, hogy a Facebookról való kijelentkezés után tudtunk volna oldalakat lájkolni, vagy azzal, hogy kijelentkezve is saját barátaink lájkjait láthattuk külső oldalakon.

Akkor is szivárog az adat, ha nem akarjuk

A múlt héten bejelentett Open Graph protokoll révén megvalósuló automata megoldások vizsgálata közben Nik Cubrilovic fejlesztő, vállalkozó, hacker és alkalmanként szakszerző viszont egészen meglepő dolgokra bukkant. A tesztek szerint az új rendszerben a tracking cookie és a beléptető cookie különvált, az előbbi akkor is működik, ha a felhasználó kijelentkezett a Facebookról, mivel  tartalmazza az egyedi azonosításra alkalmas információkat, a Facebook-fiók azonosítószámát.

Ez azt jelenti, hogy annak ellenére, hogy kijelentkezik valaki, a külső weboldalakba ágyazott kódok továbbra is képesek személyhez köthető adatokat visszaküldeni a Facebooknak.Cubrilovic szerint “a böngészővel kijelentkezve bármilyen oldalt meglátogatásakor, ahová be van fűzve a like gomb, megosztás gomb vagy bármilyen Facebook-widget, a személyes információk, kezdve a fiók azonosítószámmal, továbbra is elküldésre kerülnek”. Majd a hacker hozzátette, hogy “Az információkat biztosan eltárolják, azzal kapcsolatban, hogy mit kezdenek velük, viszont csak spekulálni lehet”.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

A Facebook egyik mérnöke, Arturo Bejar, a Venture Beat ezt a témát feldolgozó cikkének fórumában azt írta, hogy a cég csupán arra használja a kijelentkezés után is aktív cookiet, hogy védekezzen a spam, phishing és egyéb veszélyek ellen. Illetve érvként hozta fel azt is, hogy kijelentkezve a Facebook nem is küld vissza a social pluginon keresztül információkat a felhasználónak, se nem használja azt hirdetési célzásra és az adatokat nem teszi elérhetővé harmadik fél számára sem. Cubrilovic állításai viszont tények, a HTTP fejlécek elemzésén alapulnak.

A hacker szerint az eset könnyedén reprodukálható bárki által, aki böngészőjéhez feltelepíti a szükséges eszközöket, amivel a weboldalak által kreált forgalmat lehet naplózni. Amennyiben a szakértőnek igaza van, akkor a közösségi oldal súlyosan megsérti a személyes jogokat, még anélkül is, hogy az Open Graph folyamatosan jelenteni szeretné a felhasználók aktivitását.

Kit érdekel?

Az oldal 800 milliós közönségének túlnyomó részét valószínűleg nem fogja zavarni ez a probléma sem, ahogyan az összes korábbi adatvédelmi vagy személyiségi jogi malőr felett is könnyen átsiklott a közvélemény. Látszólag a használatot egyáltalán nem befolyásolja negatívan semmilyen fiaskó, sem a folyamatosan változó, (érthető módon) egyre inkább a kereskedelmi célokat kiszolgáló felület, sem a néhány havonta módosított privát beállítási lehetőségek.

Eddig egyetlen újítás volt, amit nem lehetett lenyomni a felhasználók torkán, mégpedig a néhány évvel ezelőtti Beacon funkció - a felhasználók akkor nem tudták megemészteni, hogy a közvetlen beleegyezésük vagy konkrét gombnyomás nélkül szülessenek róluk posztok, így a Facebook vissza is vonultatta ezt a szolgáltatást. Azóta viszont felhígult a közösség és már nem csak az online világban rutinos huszonéves egyetemista és irodista közeg használhatja az oldalt, hanem a társadalomnak a kevésbé tudatos, figyelmes részei is.

Ha a kipattant probléma nem változtatná meg a Facebook hozzáállását és továbbra is működő marad a kijelentkezés után is aktív követő cookie, akkor a felhasználók kénytelenek lesznek a böngészőiket inkognitó módban használni, vagy minden alkalommal a cookiekat törölni, esetleg a NoScript vagy AdBlock böngésző pluginekkel tiltani konkrétan ezt az elemet. A felfedezés teljes és alapos leírása Cubrilovic blogján érhető el.