Facebook membantah magang siswa karena lubang keamanan messenger yang ia gunakan

Tiga bulan lalu, mahasiswa Harvard Aran Khanna sedang bersiap untuk memulai magang di Facebook, tetapi beberapa jam sebelum perjalanan ia menerima telepon dengan penolakan . Alasannya adalah perilaku "tidak etis" siswa: Khanna menerbitkan ekstensi Chrome yang menunjukkan lokasi posting di Facebook Messenger. Messenger mengirim data ini secara default dengan setiap pesan dari aplikasi seluler.



Aplikasi Peta Perampok (nama harus akrab bagi penggemar Harry Potter) adalah ekstensi untuk Google Chrome yang menggunakan data dari messenger Facebook untuk membuat peta: itu menunjukkan tempat di mana pengguna mengirim pesan. Hanya ada orang-orang dari grup obrolan di peta - Aran tahu mereka semua. Ini berarti bahwa orang yang secara hipotetis tidak dikenal dapat melihat bahwa Aran menulis pesan di messenger ketika berada di Starbucks.

Facebook Messenger telah beroperasi sejak 2011 - secara default, Facebook mengirimkan data tentang lokasi pengguna sejak diluncurkan. Pada 2012, CNET menulis tentang "properti" ini, menunjukkan bagaimana mungkin untuk menonaktifkan fungsinya. Aplikasi ini menerima banyak pembaruan, termasuk emoji lucu dengan kucing, tetapi perusahaan tidak menghapus pengaturan geolokasi. Khanna sering menggunakan kurir itu, tetapi tidak tahu bahwa dia membagikan begitu banyak data sampai dia melihat melalui sejarah pesan.


Aran Khanna dan Mark Zuckerberg

26 Mei Khanna memposting sebuah posting tentang "Peta Perampok" di Medium, setelah itu ekstensi diunduh delapan puluh lima ribu kali. Tiga hari kemudian, Facebook meminta pengembang untuk menonaktifkan aplikasi dan pada saat yang sama mematikan transfer data lokasi pada komputer pribadi, yang dalam hal apa pun memblokir operasi "Peta".

Seminggu kemudian, Facebook merilis pembaruan untuk Messenger, menyebutkan dalam rilis: "Setelah pembaruan ini, Anda akan mendapatkan kontrol penuh atas kapan dan bagaimana Anda berbagi data tentang lokasi Anda." Dalam rilis, perusahaan tidak menyebutkan bahwa sebelumnya pengaturan default mengirim data lokasi, dan tanpa menginstal pembaruan, pengguna akan terus mengirim data ini.

Seorang juru bicara Facebook mengatakan perusahaan telah bekerja pada pembaruan untuk Messenger jauh sebelum Khanna memposting, dan mengatakan proses persiapan memakan waktu beberapa bulan.

Khanna menerbitkan sebuah penelitian di jurnal Harvard Technology and Science. Dia menjelaskan bahwa tujuan dari aplikasi ini adalah untuk menunjukkan konsekuensi dari pertukaran data yang tidak disengaja. Jadi pengguna dapat memutuskan sendiri apakah ini benar-benar merupakan pelanggaran privasi mereka.

Pada 2012, CNET menerbitkan video tentang cara menonaktifkan berbagi lokasi di Facebook Messenger. Tetapi hanya sembilan hari setelah penerbitan Aran pada 2015, muncul pembaruan yang menanyakan pengguna apakah ia ingin mengirim data ini.





Tiga hari setelah penerbitan "Kartu Perampok" dan dua jam sebelum Aran seharusnya magang, ia menerima telepon dari Facebook dan ditolak kerjasama karena melanggar perjanjian pengguna Facebook - karena ia meretas situs untuk menerima data. Khanna tidak setuju dengan Facebook karena dia menggunakan informasi yang dapat diakses oleh semua pengguna, yang dia ambil dari pesannya sendiri.

Pada 2012, Mark Zuckerberg dalam sepucuk surat kepada investor mengatakan: "Kami telah menciptakan budaya dan sistem manajemen yang unik, yang kami sebut sebagai Hacker Way" dan "Be Brave": ternyata keberanian dan peretasan memiliki keterbatasan.

Pada 2013, pengembang Palestina, Khalil Shriteh, melaporkan bug di Facebook, yang memungkinkan setiap pengguna untuk menempatkan tautan pada halaman orang lain. ShriTech ingin mendapatkan hadiah untuk kerentanan yang ditemukan, tetapi perusahaan menolaknya, mengatakan bahwa "ini bukan bug." Pengembang memutuskan untuk memberi tahu Mark Zuckerberg tentang kesalahan tersebut dan memposting pesan di halamannya menggunakan kerentanan ini. Khalil tidak pernah menerima uang: Facebook "tidak dapat membayar Anda untuk kerentanan ini karena tindakan Anda melanggar ketentuan layanan kami."

Source: https://habr.com/ru/post/id382787/