Újabb adatkezelési problémákra derült fény a napokban, ugyanis a jelek szerint hiába tiltottak ki több száz potenciálisan veszélyes alkalmazást a Facebook fejlesztői a népszerű közösségi platformról, még mindig maradtak olyanok, amelyek hanyagul bánnak a felhasználók adataival.
A szakértők persze előre szóltak, a korábbi Cambridge Analityca botrány valószínűleg csak a jéghegy csúcsa, már ami a Facebook adatkezelési szokásait illeti, és a friss fejlemények alapján úgy tűnik, tényleg vannak még teendők az adatvédelem szigorítása terén. Pedig Mark Zuckerberg, a Facebook vezetője még március 21-én jelentette be, hogy minden olyan alkalmazást átvilágítanak, amelyek nagy mennyiségű felhasználói adatot kezelnek, valamint azokat az alkalmazásokat is megvizsgálják, amelyek gyanús aktivitást mutatnak. A szigorításnak köszönhetően nagyjából 200 aggályos alkalmazás került letiltásra, de a vizsgálatok még feltehetőleg folynak.
A legújabb problémára egy biztonságtechnikai szakember, Inti De Ceukelaire hívta fel a figyelmet. A szóban forgó szakember még április folyamán figyelt fel a NameTests.com szokatlan adatkezelésére, amelynek keretén belül harmadik felek számára váltak elérhetővé a felhasználók különböző adatai. A népszerű alkalmazás figyelemfelkeltő kvízekkel „szedi áldozatait” idehaza is, ám a gyanútlan válaszolók valószínűleg nem is sejtik, hogy az ingyenes alkalmazás használatával veszélybe kerülnek adataik.
Attól függően, milyen kvízt tölt ki a delikvens, különböző személyes adatok kerülnek az alkalmazás üzemeltetőjéhez, a német Social SweetHearts-hoz: ezek között a Facebook azonosítótól kezdve a felhasználó nevén és nemén át egészen a születési adataiig többféle kényes tartalom is szerepel, még a profilkép, a borítókép, illetve az adott személy által használt eszközök listája is. Esetenként a felhasználó állapotjelentései és posztjai is kikerülhetnek, sőt, a fotói vagy éppen ismerőseit tartalmazó lista is. A szakember szerint a NameTests.com bármely harmadik félnek elérhetővé tette az említett adatokat, aki kérte. A Nametest.com használatának elsődleges feltétele, hogy bejelentkezzünk Facebook fiókunkkal, majd engedélyt is kér az app, hogy hozzáférjen bizonyos adatainkhoz. A kvíz eredménye felkerül a Facebookra, ha engedélyezzük a megosztást, így jó eséllyel ismerőseink is próbát tesznek az adott kvízzel.
De Ceukelaire szerint az app által használt JavaScript kódon keresztül szinte bárki hozzáférhet a Facebookra bejelentkezett felhasználók adataihoz bármely külső weboldalon keresztül, amit éppen felkeresnek. Az adatszivárgás szerinte legalább 2016 óta tart, és olyan egyszerű észrevenni a szakavatott szemek számára, hogy biztosnak tartja, más is rájött már – és akár ki is aknázhatta a benne rejlő lehetőségeket is. A veszély elég nagy, hiszen a NameTests.com kvízeit havi szinten 120 milliónál is több felhasználó „töltögeti”, azaz óriási adatmennyiség szivároghat ki – elméletben.
A hibát április 22-én jelentette a Facebook ellenőrző programján keresztül, de az első reakció csak április 30-án érkezett. Május 14-én ismét levélváltásra került sor, ugyanis De Ceukelaire rákérdezett, történt-e már bármi fejlemény az ügyben. Egy hét múlva ismét azt a választ kapta, amit az első levélben, vagyis hogy három-hat hónapba is telhet, mire kivizsgálják az ügyet. A NameTests.com ezzel egy időben élt és virult, továbbra is szivárogtatta a felhasználói adatokat egészen június 25-ig, amikor megváltoztatták az adatkezelési gyakorlatot, így harmadik fél számára már nem lehetett elérni a felhasználó adatait – legalábbis a JavaSript alapú szivárgáson keresztül. Az már más kérdés, hogy a cég közeben értékesítette-e az adatokat.
Június 27-én a Facebook is reagált az ügyre, vagyis elismerték, valóban lehetőségük volt a támadóknak arra, hogy a résen keresztül rálássanak a bejelentkezett Facebook felhasználó különböző adataira. A NameTests.com fejlesztői szerint az általuk elvégzett vizsgálatok nem tártak fel semmi olyan bizonyítékot, ami adatszivárgás gyanújára utalna. Elmondták, az adatok kezelését nagyon komolyan veszik és különböző intézkedéseket is hoznak annak érdekében, hogy a jövőben elkerülhessék a kockázatokat.
De Ceukelaire végül 4000 dolláros jutalmat kapott a hiba felfedezéséért és a Facebook értesítéséért az említett programon keresztül, ám ő felajánlotta az összeget a Freedom of the Press alapítványnak. Mivel jótékonysági célra ment a pénz, megduplázták, így az alapítvány végül 8000 dollárhoz jutott.
A fenti események arra engednek következtetni, hogy továbbra is érdemes vigyázni a hasonló kvíz-alkalmazásokkal, illetve minden egyéb gyanús appal. Érdemes felülvizsgálni, milyen alkalmazásoknak adtunk engedélyt, hogy hozzáférjenek különböző adatainkhoz, majd a gyanúsakat érdemes törölni. Külön érdekesség, hogy a szivárgás akkor is folytatódott, ha a felhasználó törölte az alkalmazást, ugyanis a webböngésző által tárolt „sütik” megmaradtak, így ezeken keresztül továbbra is elérhető maradt néhány adat.
Ezeket a „sütiket” (cookie) kézzel mindenképpen érdemes törölni, erre a célra sok egyéb mellett akár a CCleaner is használható, de ezt a feladatot az adott webböngésző beállításain keresztül, a „Sütik/Cookies” opción belül is elvégezhetjük. Annak érdekében, hogy ehhez útmutatást is adjunk, linkeljük a nagy webböngészők ide vonatkozó támogatási oldalait: Google Chrome (Desktop/Android/iOS), Mozilla FireFox, Microsoft Edge, Apple Safari (macOS), Apple Safari (iOS). És mobileszközön is érdemes elvégezni a törlést. Ha minden süti törlésre kerül, akkor az egyes weboldalakon újra be kell jelentkezni.
