Barátban sem bízhatunk a Facebookon

A Sao Paulóban megrendezett Silver Bullet biztonsági konferencián egy brazil IT-biztonsági fejlesztő demonstrálta, hogy a közösségi oldalak segítségével 24 órán belül bárkivel baráti kapcsolatba kerülhetünk a Facebookon. Nelson Noaves Neto, a Uoldievo cég biztonsági főnöke a Facebookot, az Amazont és a Linkedint felhasználva férkőzött a célpontként megjelölt, internetes biztonsági szakértőként dolgozó személy bizalmába.

Neto a konferencián egy Facebook-profilt készített, amely mögé bújva a célpont menedzserének álcázta magát. A klónozott profillal egy órán belül 432 embert jelölt meg barátként, akik a menedzser ismeretségi körébe tartoztak. Egy óra alatt 24-en jelölték vissza, annak ellenére, hogy 96 százalékuk már korábban is a menedzser baráti köréhez tartozott.

Neto hasonló trükköt alkalmazott a Linkedin oldalán is; ott 436 jelölésből 14 visszaigazolást kapott egy órán belül. Miután a hamis profillal sikeresen maga köré csalogatta a baráti kört, Neto megjelölte a célpontot a Facebookon, aki hét órával ezután visszaigazolta őt ismerősként.

A hiba a felhasználóban van

Neto röviden vázolta, hogy a hamis profillal könnyen megszerezhető egy valódi Facebook-felhasználó azonosítója is. A Three Trusted Friends (három megbízható barát) alkalmazás ugyanis lehetővé teszi, hogy a megbízhatónak tartott ismerősök megkaparintsák az illető jelszavát, ezek után egy hacker pedig könnyen megváltoztathatja mind a jelszót, mind a felhasználó mailcímét. Ugyanezzel a metódussal pedig mások profiljához is hozzáférhet.

„Az emberek egyszerűen figyelmen kívül hagyják, hogy milyen veszélyekkel járhat valakit ismerősként elfogadni, anélkül, hogy ellenőriznék a profilját" – jegyezte meg Neto. „A közösségi oldalak fantasztikusak lehetnek, de az emberek mindig követnek el hibákat. Az adataink védelme hozzátartozik a társadalmi felelősségvállaláshoz.”

A Facebook szerint a rendszer biztonságos

Az ügy kapcsán a Facebook szóvivője is nyilatkozott. Elmondása szerint Neto módszere a Facebook szabályzatának világos és egyértelmű megsértése. A cég arra bátorít mindenkit, hogy amennyiben hamis felhasználói profilra gyanakodnának, tájékoztassák őket. Ilyenkor megvizsgálják a kérdéses profilt, és üzenetet küldenek neki, hogy amennyiben másnak adja ki magát, azzal a Facebook felhasználói szerződését, bizonyos esetekben pedig a helyi törvényt is megsértheti.

A szóvivő azt is megjegyezte, hogy a Facebook által felkínált biztonsági eszközök alkalmazása – mint például a telefonszám megadása – szintén hasznos lehet. A Trusted Friend a Facebook álláspontja szerint nem jelent biztonsági kockázatot: a rendszer olyan biztonsági megoldásokkal dolgozik, amik csökkentik annak a valószínűségét, hogy egy frissen szerzett ismerős kezébe kerülhessen a jelszavunk.