„Facebook" spraga, į kurią kompanija nekreipia dėmesio: klystate, jei manote, jog jūsų asmeniniai duomenys niekam neprieinami  (1)

Pastaruoju metu apsauga telefono numeriu ypač populiarėja. Turbūt pastebėjote, kad didžiausios elektroninį paštą siūlančios kompanijos, pavyzdžiui, „Google“, su savo „Gmail“ ar „Microsoft“ su savo „Outlook“, jūsų prašo pridėti telefono numerį, kad apsaugotumėte savo paskyrą ar sužinotumėte, jei kas nors bando į ją „įsilaužti“.


Prisijunk prie technologijos.lt komandos!

Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.

Sudomino? Užpildyk šią anketą!

Saugumas internete visada yra pirmoje vietoje, tad tą patį siūlo ir populiariausias pasaulyje socialinis tinklas „Facebook“. Nepaisant to, bendravimo platforma nereaguoja į vieną „skylę“, kuri atskleidžia jūsų telefono numerį.

„Facebook“ nustatymai – neužbaigti

Pradėkime nuo to, kad atrastas gana paprastas būdas, kaip nesunkiai galima susižinoti įžymių žmonių ar net politikų telefono numerius, jei jie naudojasi socialiniu tinklu „Facebook“. Verta pastebėti, kad tai iš tiesų veikia tik mažose šalyse, kuriose gyventojų skaičius neviršija dešimties milijonų, tačiau, turint laiko, galima surasti beveik bet kokio asmens telefono numerį. Tiesa, tik tuo atveju, jei saugumo nustatymuose tas asmuo yra pridėjęs savo telefono numerį. Žinoma, tad čia ir prasideda visos „Facebook“ saugumo nustatymo problemos.

Nereikia būti įgudusiu programišiumi, kad suprastum, jog kažkas negerai. Visų pirma, kai jūs pridedate savo telefono numerį „Facebook“ paskyroje, nesvarbu, ar tai dėl saugumo, ar tiesiog jį ten norite turėti, galite pasirinkti, kas jus gali rasti suvedus jūsų telefono numerį: bet kas, tik draugai ir panašiai. Nepaisant to, jei pasirinksite funkciją „tik aš“, bendri „kas gali mane surasti“ nustatymai perrašo jūsų pasirinkimą „kas gali mane surasti telefono numeriu“, tad jei paspaudę mygtuką „tik aš“ manote, jog jūsų numeris liks niekam neprieinamas, klystate.

Jei pabandysite nueiti į „kas gali mane surasti telefono numeriu“ nustatymus, pamatysite, kad funkcijos „tik aš“ tiesiog nėra. Taip, jūs galite nustatyti, kad jums suvedus telefono numerį ar elektroninį paštą rasti galės tik „draugai“ ar „draugų draugai“, tačiau tiesa tokia, kad apeiti šį „draugų“ nustatymą yra gana paprasta. Taigi jūs esate įvedę savo telefono numerį į „Facebook“ paskyrą, tad kaip viską suprasti, kaip kažkas gali rasti mano privatų numerį, jei mane socialianiame tinkle gali rasti tik draugai?

Kaip viskas veikia?

Šis metodas veikia gana labai paprastu „Facebook“ paieškos grafos principu. Jūs galite suvesti telefono numerį ir matysite asmenį, kuriam jis priklauso. Akivaizdu, kad, ieškant konkretaus asmens, vedant kiekvieną numerį iš eilės yra neįgyvendinama užduotis ir užtruktų mėnesius. Taip pat mano sukurta programa testavimo principui pastebėjo, kad po 1500 numerių suvedimo paieškos grafoje mano „Facebook“ paskyra buvo apribota šios funkcijos naudojimui. Be abejonės, labiau įgudę vartotojai gali bandyti naudotis „zombių tinklais“ (angl. „botnet“) su tikromis „Facebook“ paskyromis, tačiau nėra abejonės, jog kompanija turi apsaugas, nutaikytas į panašias atakas. Tad ką daryti?

Visų pirma, „Facebook“ mums iškyla problema, kaip grafos paieškoje suvesti tūkstančius numerių vienu metu, taip randant asmenis, kuriems jie priklauso, bandant sužinot tikslų „aukos“ telefono numerį. Kaip minėjau, tiesioginio vedimo (angl. „brute force“) metodas nesuveikė, tad reikėjo naujo metodo. Sugalvojau pasinaudoti „Ieškoti draugų“ funkcija, kuri taip pat nėra užbaigta. Bet, visų pirma, man reikia kažkaip pabandyti sumažinti galimų telefonų numerių skaičių ir į galvą iškart toptelėjo mintis: „Facebook“ jau iškart nurodo jūsų du telefono numerio paskutinius skaičius.

Šiuo atveju man tik reikia žinoti „Facebook“ socialiniu tinklu besinaudojančio žmogaus profilio nuorodą ar vardą bei pavardę ir kaip jis atrodo. Socialinis tinklas naudojasi gana nepagrįsta sistema, kai kiekviena paskyra turi tam tikrą „Facebook“ elektroninį paštą, kuriuo niekas kaip ir nesinaudoja. Tai atveria galimybę pažvelgti į jūsų apsaugos nustatymus. Štai suvedame tyrimo subjekto, tai yra mano, „Faceobok“ el. pašto vardą, ir matome, kokie yra mano nustatymai: turiu pridėjęs elektroninį paštą ir telefono numerį, kurio pabaiga „05“. Sąrašas sumažėja.

Pasitelkę logiką suprantame, kad telefono numeriai Lietuvoje nėra ilgi. Jie visi praktiškai yra „86xxxxxxx“, t. y. devynių skaitmenų ilgio, tačiau jau žinome, kad subjekto numeris baigiasi „05“. Tad išeina, kad mes ieškome telefono numerio tarp „86xxxxx05“, o tai sumažina mūsų paieškos laukelį iki beveik šimto tūkstančių, na, 99999 galimų variantų.

Šiuo atveju tiesiog sukūriau programą, kuri man sugeneruotų visų įmanomų numerių, kurie yra „6xxxxx05“ diapazone, sąrašą. Kas iš to? „Facebook“ turi įdomią paieškos savybę pavadinimu „Ieškoti draugų“, kur galime tiesiog įkelti šį sąrašą, tad išbandykime šį metodą drauge.

Pabandžius įkelti visą telefono numerių sąrašą, „Facebook“ išmetė klaidą. Po keleto bandymų taip pat pavyko sužinoti, kad vienai paskyrai tai galima daryti, tai yra įkelti jūsų neva „elektroninio pašto kontaktų sąrašą“, penkis kartus per 24 valandas, o vieno failo kontaktų skaičius negali viršyti 30 tūkstančių. Tai nėra didelė problema, nes mums tereikia ieškoti apie šimto tūkstančių numerių, tad turimą kontaktų sąrašą padalijau į keturis failus.

Savo numerį aš žinau, be jokios abejonės, tačiau įsivaizduokime, kad taip nėra. Pirmą kartą bandome pirmuosius 30 tūkstančių numerių „60xxxx05“ iki „62xxx905“ diapazone. Ir nesėkmė, nes telefono numeris nėra šiame diapazone. Gerai, bandome dar keletą kartų, kol pagaliau neva savo elektroninio pašto draugų kontaktuose randu save: puiku, sakykime, mano numeris yra kitame faile, o tai reiškia diapazoną nuo „63xxxx05“ iki „65xxx905“. Ką darome toliau?

Kai praverčia aritmetikos žinios

Apie 30 tūkstančių galimų numerių yra gana daug, tad ir juos reikia patikrinti. Mums liko tiek galimų telefono numerių. Čia praverčia aritmetika. Dalijame šių numerių failą per pusę ir bandome dar kartelį. Atrodo, kad mano numeris tebėra pirmajame 15 tūkstančių likusių numerių. Taip šį sąrašą dalijame dar kartą, bandome dar kartą ir taip bandome tol, kol mums liks, sakykime, 58 galimi numeriai. Tam prireiks laiko, žinoma, tad apie tai pakalbėkime.

Kaip jau minėjau, „Facebook“ leidžia failą įkelti penkis kartus per parą, tad nėra jokios abejonės, kad šiam metodui įgyvendinti prireiks daugiau nei vienos anketos. Likusius 58 galimus numerius galiu patikrinti rankiniu būdu, o ir socialinis tinklas nesupyks, nes nepasieksiu minėto 1500 užklausų limitų. Viskas atrodo neblogai, tačiau kiek failų mums reikės susikurti?

Buvo minėta, kad mums prireiks keturių programa sugeneruotų failų. Vėliau randame subjektą diapazone iš 30 tūkstančių ir šį sąrašą dalijame iš dviejų. Panaudojus paprastą aritmetiką sužinome, kad mums prireiks dar papildomų 18 failų, tad iš viso 22 failai. „Facebook“ per 24 valandas leidžia įkelti iki 5 elektroninio pašto kontaktų, tada arba laukiame, arba susikuriame penkias paskyras. Viskas.

Nepaisant to, kad nustatymuose pakeičiau tai, ką galėjau, mano tariamas „draugas“ jau manęs ieškojo, tad suvedęs mano numerį mane mato paieškoje. Patikrinęs likusius 58 telefono skaičius randu tą, kuris priklauso subjektui, tai yra man. Sakykime, kažkas turi jūsų numerį, kas toliau?

Ką galima padaryti su jūsų numeriu?

Atrodo, kad žinome jūsų vardą ir pavardę ir telefono numerį, tačiau kas iš to? Priklauso nuo to, kas jūsų ieško ir ar žinomas žmogus esate. Turėdamas žinių programišius gali toliau bandyti ieškoti informacijos apie jus, net bandyti susekti jūsų gimines ar šeimos narius, kurie taip pat pridėję savo telefono numerį į „Facebook“ paskyrą. Sužinojus jų numerius, galima pradėti veikti.

Vienas iš galimų variantų, kad jūsų informacija gali būti parduota ir gausite reklamos žinutes su savo vardu. Atrodys keista, iš kur tam tikra reklamos kompanija žino jūsų duomenis, jei niekad jų nepateikėte? Jūs tai padarėte socialine tinkle „Facebook“. Tiesa, reklamos siuntimo variantas nėra toks baisus, kokie gali būti kiti galimi variantai, tad pakalbėkime apie blogiausius.

Visų pirma, jei kažkas nori pasunkinti jūsų dienas, gali pradėti jums siųsti tūkstančius SMS žinučių bei skambinti kas kelias sekundes. Sakysite, kad nieko blogo, tiesiog užblokuosiu tą numerį, iš kurio gaunu SMS žinutes ir skambučius. Problema ta, kad dažniausiai „Android“ ir „iOS“ išmanieji telefonai blokuoja tik įprastus numerius, o kiek labiau įgudę programišiai gali naudotis nežinomais ir nesusekamais numeriais, kuriuos užblokuoti prireiks kiek daugiau darbo.

Tiesa, blogiausia tai, jei programišiai, radę jūsų šeimos narių numerius, pradės skambinėti iš jų. Taip, supratote teisingai. SMS ir skambučių telefono numerio keitimo technologijos (angl. „spoofing“) prieinamos net nelabai įgudusiems programišiams, tad atrodys, kad tūkstančius skambučių atlieka, pavyzdžiui, jūsų mama. Ar blokuosite jos numerį, jog ši su jumis vėliau negalėtų susisiekti? Galimas variantas, jog programišiai galėtų bandyti jums pasiųsti ir SMS žinutę bandydami apsimesti jūsų šeimos nariu ar draugu, panaudoję jų numerį, o spustelėjus tam tikrą nurodą ir neturint tinkamos apsaugos, galite turėti dar daugiau problemų, nei gali pasirodyti iš pradžių.

Be jokios abejonės, tai tik pasvarstymai, ką gali atlikti programišiai, turintys telefono numerį. Viskas tvarkoje, jei juo dalintis norėjote, tačiau jei jį laikote paslaptyje ir šį žino tik saujelė žmonių, tačiau į „Facebook“ saugumo nustatymus jį pridėjote? Galite turėti rimtų problemų. Vėlgi viskas priklauso nuo to, kas ieško informacijos apie jus, tačiau šiame technologijų amžiuje reikia būti labai apdairiems. Mažiau įgudę vartotojai atskleidžia savo gyvenamąją vietą, kreditinių kortelių numerius, slaptažodžius ir panašiai. „Pakibti ant kabliuko“ gali ir technologijomis besidomintis asmuo. Kartais tai tiesiog gali būti paveiksliukas, ant kurio spustelėjote, o lyg nieko ir neįvyko.

Ką reikėtų žinoti pabaigai?

1. Kur problema?

Mažose šalyse, kaip kad Lietuvoje, surasti numerį „Facebook“ socialiniame tinkle nėra sunku ir tai nereikalauja daug įgūdžių. Visų pirma, pasižiūrėkite, ar jūsų nustatymuose „kas gali mane rasti telefono numeriu“ nėra nustatyta, kad jus gali rasti bet kas. Problema yra ta, kad „Facebook“ nepateikia realių priežasčių išspręsti šią problemą, nėra daugiau nustatymų opcijų.

2. Ar aš paveiktas?

Mažoje šalyje jūs, be jokios abejonės, esate paveiktas. Jūs galite bandyti pakeisti „kas gali mane rasti telefono numeriu“ nustatymus tik į „draugus“, tačiau, kaip parodė atlikti scenarijai, dažnai nesuveikia ir tai. Bandant imituoti elektroninio pašto kontaktų sąrašą ir jį keliant į paieškos funkciją, „Facebook“ socialinio tinklo sistema galvoja, kad jūs esate „draugai“, tad jus rodo bendroje paieškoje.

3. Ką „Facebook“ galėtų pakeisti?

Visų pirma, socialiniam tinklui, prieš pridedant telefono numerį, reikėtų informuoti žmones apie tikruosius nustatymus. Dalykas tas, kad jei būtų galimą nustatymuose „kas galime mane rasti telefono numeriu“ opciją pakeisti į „tik aš“, problema nebūtų išspręsta. Automatiškai tai pakeičiama į „viešas“, o daugelis net neužeina į „Facebook“ nustatymus.

Prieš pridedant numerį jums turėtų iššokti langas, kuris jums leistų pasirinkti opciją, kaip elgtis su savo telefonu numeriu. Taip pat elektroninio pašto paieškos kontaktų/draugų sistema yra absurdas: kai galima įkelti iki 30 tūkstančių kontaktų vienu metu, tai atrodo juokinga. Jei šį skaičių „Facebook“ sumažintų iki tūkstančio ar panašiai, tokios telefono numerio paieškos taptų sudėtingesnės, tačiau su „zombių tinklais“ tai nebūtų neįmanomos.

4. Tai ar man išimti savo telefono numerį iš „Facebook“?

Jei norite privatumo, sunku pasakyti, nes telefono numeris dažnai praverčia užmiršus slaptažodį ir iš esmės yra gana saugi bei rekomenduojama saugumo priemonė. Naudokite telefono numerį visur kitur be didesnių problemų, tačiau gerai pagalvokite, ar tai verta daryti tinkle „Facebook“.

Pasidalinkite su draugais
Aut. teisės: alfa.lt
Autoriai: Mantas Bakutis
(25)
(0)
(25)

Komentarai (1)