O Facebook negou o estágio dos estudantes devido a uma falha na segurança de mensageiros

Há três meses, a estudante de Harvard Aran Khanna estava se preparando para iniciar um estágio no Facebook, mas algumas horas antes da viagem ela recebeu uma ligação com uma recusa . O motivo foi o comportamento "antiético" do aluno: Khanna publicou uma extensão do Chrome que mostra a localização das postagens no Facebook Messenger. O mensageiro envia esses dados por padrão com cada mensagem do aplicativo móvel.



O aplicativo Mapa do Maroto (o nome deve ser familiar para os fãs de Harry Potter) é uma extensão do Google Chrome que usa dados do messenger do Facebook para criar um mapa: mostra os locais para onde os usuários enviaram mensagens. Havia apenas pessoas do grupo conversando no mapa - Aran conhecia todas elas. Isso significa que uma pessoa hipoteticamente desconhecida pode ver que Aran escreveu uma mensagem no messenger enquanto estava na Starbucks.

O Facebook Messenger está em operação desde 2011 - por padrão, envia dados sobre a localização do usuário a partir do momento em que é lançado. Em 2012, a CNET escreveu sobre essa "propriedade", mostrando como é possível desativar a função. O aplicativo recebeu muitas atualizações, incluindo emojis engraçados com gatos, mas a empresa não removeu as configurações de geolocalização. Khanna costumava usar o messenger, mas não sabia que ele compartilhava tantos dados até examinar o histórico de mensagens.


Aran Khanna e Mark Zuckerberg

26 de maio Khanna postou um post sobre o “Mapa do Maroto” no Medium, após o qual a extensão foi baixada oitenta e cinco mil vezes. Três dias depois, o Facebook pediu ao desenvolvedor que desativasse o aplicativo e, ao mesmo tempo, desativou a transferência de dados de localização em computadores pessoais, o que, em qualquer caso, bloqueou a operação do "Mapa".

Uma semana depois, o Facebook lançou uma atualização para o Messenger, mencionando no lançamento: "Após esta atualização, você terá controle total sobre quando e como compartilha dados sobre sua localização". No release, a empresa não mencionou que anteriormente as configurações padrão enviavam dados de localização e que, sem instalar a atualização, os usuários continuarão enviando esses dados.

Uma porta-voz do Facebook disse que a empresa estava trabalhando em uma atualização para o Messenger muito antes de Khanna postar o post, e disse que o processo de preparação levou vários meses.

Khanna publicou um estudo na revista Harvard Technology and Science. Ele explicou que o objetivo do aplicativo é mostrar as consequências de uma troca de dados não intencional. Assim, os usuários podem decidir por si próprios se isso é realmente uma violação de sua privacidade.

Em 2012, a CNET publicou um vídeo sobre como desativar o compartilhamento de local no Facebook Messenger. Mas apenas nove dias após a publicação de Aran em 2015, apareceu uma atualização que perguntava ao usuário se ele queria enviar esses dados.





Três dias após a publicação do “The Marauder's Card” e duas horas antes de Aran ir para um estágio, ele recebeu uma ligação do Facebook e a cooperação foi negada devido a uma violação do contrato de usuário do Facebook - porque ele invadiu o site para receber dados. Khanna não concordou com o Facebook porque usou informações acessíveis a todos os usuários, que ele retirou de suas próprias mensagens.

Em 2012, Mark Zuckerberg, em uma carta aos investidores, disse: “Criamos um sistema único de cultura e gerenciamento, que chamamos de Hacker Way” e “Be Brave”: descobriu-se que a coragem e o hacking têm limitações.

Em 2013, um desenvolvedor palestino, Khalil Shriteh, relatou um bug no Facebook, que permite que qualquer usuário coloque um link na página de outra pessoa. A ShriTech queria obter uma recompensa pela vulnerabilidade encontrada, mas a empresa o recusou, dizendo que "isso não é um bug". O desenvolvedor decidiu notificar Mark Zuckerberg do erro e postou uma mensagem em sua página usando esta vulnerabilidade. Khalil nunca recebeu o dinheiro: o Facebook "não pode pagar por essa vulnerabilidade porque suas ações violaram nossos termos de serviço".

Source: https://habr.com/ru/post/pt382787/