Facebook verweigerte Studentenpraktikum aufgrund der von ihm genutzten Sicherheitslücke für Boten

Vor drei Monaten bereitete sich die Harvard-Studentin Aran Khanna darauf vor, ein Praktikum auf Facebook zu beginnen, doch einige Stunden vor der Reise erhielt sie einen Anruf mit Ablehnung . Der Grund war das „unethische“ Verhalten des Schülers: Khanna veröffentlichte eine Chrome-Erweiterung, die den Standort von Posts auf Facebook Messenger anzeigt. Der Messenger sendet diese Daten standardmäßig mit jeder Nachricht von der mobilen Anwendung.



Die Marauder's Map-Anwendung (der Name sollte Harry Potter-Fans bekannt sein) ist eine Erweiterung für Google Chrome , die Daten aus dem Facebook-Messenger verwendet, um eine Karte zu erstellen: Sie zeigt die Orte an, an denen Benutzer Nachrichten gesendet haben. Es waren nur Leute aus dem Gruppenchat auf der Karte - Aran kannte sie alle. Dies bedeutet, dass eine hypothetisch unbekannte Person sehen konnte, dass Aran in Starbucks eine Nachricht in den Messenger geschrieben hat.

Facebook Messenger ist seit 2011 in Betrieb. Standardmäßig sendet es ab dem Start Daten über den Standort des Benutzers. Im Jahr 2012 schrieb CNET über diese „Eigenschaft“ und zeigte, wie es möglich ist, die Funktion zu deaktivieren. Die Anwendung erhielt viele Updates, einschließlich lustiger Emojis mit Katzen, aber das Unternehmen hat die Geolocation-Einstellungen nicht entfernt. Khanna benutzte den Messenger oft, wusste aber nicht, dass er so viele Daten teilte, bis er den Nachrichtenverlauf durchgesehen hatte.


Aran Khanna und Mark Zuckerberg

26. Mai Khanna hat einen Beitrag über die „Marauder's Map“ auf Medium gepostetDanach wurde die Erweiterung fünfundachtzigtausend Mal heruntergeladen. Drei Tage später forderte Facebook den Entwickler auf, die Anwendung zu deaktivieren und gleichzeitig die Übertragung von Standortdaten auf PCs zu deaktivieren, was auf jeden Fall den Betrieb der "Karte" blockierte.

Eine Woche später veröffentlichte Facebook ein Update für den Messenger, in dem in der Veröffentlichung erwähnt wurde: „Nach diesem Update haben Sie die volle Kontrolle darüber, wann und wie Sie Daten über Ihren Standort teilen.“ In der Version hat das Unternehmen nicht erwähnt, dass zuvor die Standardeinstellungen Standortdaten gesendet haben und dass Benutzer diese Daten ohne Installation des Updates weiterhin senden.

Eine Facebook-Sprecherin sagte, das Unternehmen habe lange vor Khannas Veröffentlichung an einem Update für den Messenger gearbeitet und der Vorbereitungsprozess habe mehrere Monate gedauert.

Khanna veröffentlichte eine Studie in der Harvard-Zeitschrift Technology and Science. Er erklärte, dass der Zweck des Antrags darin bestehe, die Folgen eines unbeabsichtigten Datenaustauschs aufzuzeigen. So können Benutzer selbst entscheiden, ob dies wirklich eine Verletzung ihrer Privatsphäre darstellt.

Im Jahr 2012 veröffentlichte CNET ein Video zum Deaktivieren der Standortfreigabe auf Facebook Messenger. Aber nur neun Tage nach der Veröffentlichung von Aran im Jahr 2015 erschien ein Update, das den Benutzer fragte, ob er diese Daten senden wollte.





Drei Tage nach der Veröffentlichung von „The Marauder's Card“ und zwei Stunden bevor Aran ein Praktikum machen sollte, erhielt er einen Anruf von Facebook und erhielt aufgrund eines Verstoßes gegen die Facebook-Nutzungsvereinbarung keine Zusammenarbeit - weil er die Website gehackt hatte, um Daten zu erhalten. Khanna stimmte Facebook nicht zu, da er Informationen verwendete, die für alle Benutzer zugänglich waren und die er seinen eigenen Nachrichten entnahm.

2012 sagte Mark Zuckerberg in einem Brief an die Investoren: „Wir haben ein einzigartiges Kultur- und Managementsystem geschaffen, das wir Hacker Way nennen.“ Und „Sei mutig“: Es stellte sich heraus, dass Mut und Hacking Grenzen haben.

Im Jahr 2013 meldete ein palästinensischer Entwickler, Khalil Shriteh, einen Fehler auf FacebookHiermit kann jeder Benutzer einen Link auf der Seite eines anderen Benutzers platzieren. ShriTech wollte eine Belohnung für die gefundene Sicherheitslücke erhalten, aber das Unternehmen lehnte ihn ab und sagte, dass "dies kein Fehler ist". Der Entwickler hat beschlossen, Mark Zuckerberg selbst über den Fehler zu informieren, und auf dieser Seite eine Nachricht mit dieser Sicherheitsanfälligkeit veröffentlicht. Khalil hat das Geld nie erhalten: Facebook "kann Sie nicht für diese Sicherheitsanfälligkeit bezahlen, weil Ihre Handlungen gegen unsere Nutzungsbedingungen verstoßen."

Source: https://habr.com/ru/post/de382787/