Geekly articles weekly

Facebook a refusé un stage étudiant en raison de la faille de sécurité de messager qu'il a utilisée

Il y a trois mois, l'étudiante de Harvard, Aran Khanna, se préparait à commencer un stage sur Facebook, mais quelques heures avant le voyage, elle a reçu un appel avec un refus . La raison en était le comportement «contraire à l'éthique» de l'étudiant: Khanna a publié une extension Chrome qui indique l'emplacement des publications sur Facebook Messenger. Le messager envoie ces données par défaut avec chaque message de l'application mobile.



L'application Marauder's Map (le nom devrait être familier aux fans de Harry Potter) est une extension pour Google Chrome qui utilise les données du messager Facebook pour créer une carte: elle montre les endroits où les utilisateurs ont envoyé des messages. Il n'y avait que des gens du groupe sur la carte - Aran les connaissait tous. Cela signifie qu'une personne hypothétiquement inconnue pourrait voir qu'Aran a écrit un message dans le messager alors qu'il était dans Starbucks.

Facebook Messenger fonctionne depuis 2011 - par défaut, il envoie des données sur l'emplacement de l'utilisateur dès son lancement. En 2012, CNET a écrit sur cette «propriété», montrant comment il est possible de désactiver la fonction. L'application a reçu de nombreuses mises à jour, y compris des émoticônes amusantes avec des chats, mais la société n'a pas supprimé les paramètres de géolocalisation. Khanna a souvent utilisé le messager, mais ne savait pas qu'il partageait autant de données jusqu'à ce qu'il ait parcouru l'historique des messages.

image
Aran Khanna et Mark Zuckerberg

le 26 mai Khanna a posté un article sur la "Carte des Maraudeurs" sur Medium, après quoi l'extension a été téléchargée quatre-vingt-cinq mille fois. Trois jours plus tard, Facebook a demandé au développeur de désactiver l'application et a en même temps désactivé le transfert des données de localisation sur les ordinateurs personnels, ce qui a en tout cas bloqué le fonctionnement de la "Carte".

Une semaine plus tard, Facebook a publié une mise à jour pour Messenger, mentionnant dans le communiqué: "Après cette mise à jour, vous aurez un contrôle total sur le moment et la façon dont vous partagez les données sur votre emplacement." Dans la version, la société n'a pas mentionné que les paramètres par défaut envoyaient auparavant des données de localisation et que, sans installer la mise à jour, les utilisateurs continueraient d'envoyer ces données.

Une porte-parole de Facebook a déclaré que la société avait travaillé sur une mise à jour du Messenger bien avant que Khanna ne poste le message et a déclaré que le processus de préparation avait pris plusieurs mois.

Khanna a publié une étude dans la revue Harvard Technology and Science. Il a expliqué que le but de la demande est de montrer les conséquences d'un échange de données involontaire. Les utilisateurs peuvent donc décider par eux-mêmes s'il s'agit vraiment d'une violation de leur vie privée.

En 2012, CNET a publié une vidéo sur la façon de désactiver le partage de position sur Facebook Messenger. Mais seulement neuf jours après la publication d'Aran en 2015, une mise à jour est apparue qui demandait à l'utilisateur s'il voulait envoyer ces données.



image

Trois jours après la publication de «La carte du maraudeur» et deux heures avant qu'Aran ne soit censé faire un stage, il a reçu un appel de Facebook et s'est vu refuser toute coopération en raison d'une violation de l'accord d'utilisation de Facebook - parce qu'il avait piraté le site pour recevoir des données. Khanna n'était pas d'accord avec Facebook parce qu'il utilisait des informations accessibles à tous les utilisateurs, qu'il tirait de ses propres messages.

En 2012, Mark Zuckerberg, dans une lettre aux investisseurs, a déclaré: «Nous avons créé une culture et un système de gestion uniques, que nous appelons Hacker Way» et «Be Brave»: il s'est avéré que le courage et le piratage ont des limites.

En 2013, un développeur palestinien, Khalil Shriteh, a signalé un bug sur Facebook, qui permet à tout utilisateur de placer un lien sur la page de quelqu'un d'autre. ShriTech voulait obtenir une récompense pour la vulnérabilité trouvée, mais la société l'a refusé, disant que «ce n'est pas un bug». Le développeur a décidé d'informer Mark Zuckerberg lui-même de l'erreur et a publié un message sur sa page en utilisant cette vulnérabilité. Khalil n'a jamais reçu l'argent: Facebook «ne peut pas vous payer pour cette vulnérabilité car vos actions ont violé nos conditions de service».

image

Source: https://habr.com/ru/post/fr382787/

More articles:


All Articles