Facebook negó la pasantía estudiantil debido al agujero de seguridad de mensajería que utilizó

Hace tres meses, la estudiante de Harvard Aran Khanna se estaba preparando para comenzar una pasantía en Facebook, pero un par de horas antes del viaje recibió una llamada con una negativa . La razón fue el comportamiento "poco ético" del estudiante: Khanna publicó una extensión de Chrome que muestra la ubicación de las publicaciones en Facebook Messenger. El mensajero envía estos datos de manera predeterminada con cada mensaje desde la aplicación móvil.



La aplicación del Mapa del Merodeador (el nombre debe ser familiar para los fanáticos de Harry Potter) es una extensión para Google Chrome que utiliza datos del mensajero de Facebook para crear un mapa: muestra los lugares donde los usuarios enviaron mensajes. Solo había personas del grupo de chat en el mapa: Aran los conocía a todos. Esto significa que una persona hipotéticamente desconocida podría ver que Aran escribió un mensaje en el mensajero mientras estaba en Starbucks.

Facebook Messenger ha estado operando desde 2011; de forma predeterminada, envía datos sobre la ubicación del usuario desde el momento en que se inicia. En 2012, CNET escribió sobre esta "propiedad", mostrando cómo es posible deshabilitar la función. La aplicación recibió muchas actualizaciones, incluidos emojis divertidos con gatos, pero la compañía no eliminó la configuración de geolocalización. Khanna solía usar el mensajero, pero no sabía que compartía tantos datos hasta que revisó el historial de mensajes.


Aran Khanna y Mark Zuckerberg

26 de mayo Khanna publicó una publicación sobre el "Mapa del Merodeador" en Medium, después de lo cual la extensión se descargó ochenta y cinco mil veces. Tres días después, Facebook le pidió al desarrollador que deshabilitara la aplicación y al mismo tiempo apagó la transferencia de datos de ubicación en computadoras personales, lo que en cualquier caso bloqueó la operación del "Mapa".

Una semana después, Facebook lanzó una actualización para el Messenger, mencionando en el comunicado: "Después de esta actualización, tendrá el control total sobre cuándo y cómo comparte datos sobre su ubicación". En el lanzamiento, la compañía no mencionó que anteriormente la configuración predeterminada enviaba datos de ubicación, y que sin instalar la actualización, los usuarios continuarán enviando estos datos.

Una portavoz de Facebook dijo que la compañía había estado trabajando en una actualización para el Messenger mucho antes de que Khanna publicara la publicación, y dijo que el proceso de preparación tomó varios meses.

Khanna publicó un estudio en la revista Harvard Technology and Science. Explicó que el propósito de la aplicación es mostrar las consecuencias de un intercambio de datos no intencional. Para que los usuarios puedan decidir por sí mismos si esto es realmente una violación de su privacidad.

En 2012, CNET publicó un video sobre cómo desactivar la ubicación compartida en Facebook Messenger. Pero solo nueve días después de la publicación de Aran en 2015, apareció una actualización que preguntaba al usuario si quería enviar estos datos.





Tres días después de la publicación de "La tarjeta del merodeador" y dos horas antes de que se suponía que Aran realizara una pasantía, recibió una llamada de Facebook y se le negó la cooperación debido a una violación del acuerdo de usuario de Facebook, porque pirateó el sitio para recibir datos. Khanna no estaba de acuerdo con Facebook porque usaba información accesible para todos los usuarios, que tomó de sus propios mensajes.

En 2012, Mark Zuckerberg en una carta a los inversores dijo: "Hemos creado una cultura y un sistema de gestión únicos, que llamamos Hacker Way" y "Be Brave": resultó que el coraje y la piratería tienen limitaciones.

En 2013, un desarrollador palestino, Khalil Shriteh, informó de un error en Facebook, que permite a cualquier usuario colocar un enlace en la página de otra persona. ShriTech quería obtener una recompensa por la vulnerabilidad encontrada, pero la compañía lo rechazó, diciendo que "esto no es un error". El desarrollador decidió notificar a Mark Zuckerberg sobre el error y publicó un mensaje en su página usando esta vulnerabilidad. Khalil nunca recibió el dinero: Facebook "no puede pagarle por esta vulnerabilidad porque sus acciones violaron nuestros términos de servicio".

Source: https://habr.com/ru/post/es382787/