Feledékeny fejlesztők
Idén márciusban egy "apró" biztonsági rést találtak a Facebook mobil változatában. A fejlesztők egész egyszerűen elfelejtettek egy szűrőt betenni az alkalmazásba. Ennek hiányából az következett, hogy egy pár soros beépülő kóddal a gyanútlan felhasználó nevében bárki bármit kiposztolhatott az üzenőfalára.
Hogy működik?
Nagyon egyszerűen. Épp csak ki kellett találni :-)
Az egész trükk arra alapul, hogy az átlagos felhasználó folyamatosan be van jelentkezve a fészre, miközben pedig egyéb oldalakat is olvasgat. Namármost, elég egyetlen olyan (lehetőleg népszerű) oldalra rátévednie, ahol elhelyezték ezt a rövid kis kódot
és már meg is jelenik az üzenőfalán az a szöveg, amit a spammerek szerettek volna megjeleníteni.
Én is akarom!
A cikk írói példaként el is helyeztek egy laza kézmozdulattal kattintható linket az oldalukon, ami egy teljesen üres website-ra navigál, ahol mindössze egy "hello!" felirat olvasható, de (itt jön a csavar!) ezzel egyidőben
a fészes falunkra kirakja a "Durva Facebook hiba! Helyettem posztol valami" feliratot. Ez azért nem rossz:
úgy reklámozhatok akár bármit is, meg valamit is, hogy nem is tudok róla. (Szvsz, ez még a jobbik változat, mert sokkal rosszabb lenne, ha kárt is tenne a gépünkben, a fájljainkban, vagy lopná el a személyes adatainkat stb.)
Böngésző-bakik
Elég kellemetlen, hogy Firefox, Opera és a stabil Chrome is átengedi a hibát, hisz lassan nagyítóval kell keresni azokat a felhasználókat, akik még mindig Explorer-hívők. Na jó, a béta Chrome is jó, meg a Safari is (peeersze, mac-kel könnyű!)
Ezek az akaratlan hozzászólásaink egy kattal törölhetőek - amint észrevesszük őket. Mivel homo ludens vagyok, szívesen kipróbáltam volna, hogy kattintok és egy képernyőfelvétel erejéig bemutatom az olvasóimnak a fenti kommentemet, de - mint a cikk frissítéséből is kiderül - időközben kijavították a hibát.
Amerikai visszhang
Azért érdekes, hogy ehhez a javításhoz a Symantec és az amerikai sajtó kellett, ami felhívta a figyelmet a hibára.
Megint csak saját véleményem, hogy ezt most észrevették és orvosolták, de millió alkalmazást engedélyeznek a felhasználók a profiljukhoz, amik nagy része ugyanígy automatikusan posztol helyettük... na, akkor most mi van?
Sosincs vége
A fent említett idén márciusi hiba előtt is akadt már néhány aggályosnak mondható dolog az oldallal kapcsolatban. 2010 augusztusában megjelent egy írás, ami arra az érdekességre hívja fel a figyelmet, hogy rossz jelszó begépelése esetén a szokásos fészes belépőoldal helyett egy olyan jön be, amin szerepel a neved, fotód és az E-MAIL CÍMED!
Persze, hogy ki kellett próbálnom.
Persze, hogy a kutya se foglalkozott vele eddig és ma is így van.
Az én regelt címem nagyon nem publikus, mégis simán beazonosít, kiteszi
a nevem, képem, drótpostám már akkor is, ha csak valami hasonlót írok be, mint a bejelentkezési e-mail. Fincsi. A legszebb, hogy figyelmeztet:
De persze ezek alatt ott van minden felsorolt adatom.
Tehát türelmes emberek néhány próbálkozásból elég jó találati aránnyal dolgozhatnak.
Ezt is szeretem
Még egy dolog, ami kétségeket ébreszt bennem azzal kapcsolatban, hogy vajon hogyan és meddig tárolják az adatainkat:
Kíváncsi vagyok, hogy jövő ilyenkor is kiadja-e ezt az üzenetet? Van valami tapasztalatotok erről? Kommenteljetek!
Nincsenek megjegyzések:
Megjegyzés küldése