Čia tai bent: vilnietis netyčia aptiko itin pavojingą „Facebook" spragą  ()

Šią savaitę delfi.lt žurnalistai aptiko rimtą interneto milžinės Facebook susirašinėjimo aplikacijos „Messenger“ spragą, kuri leidžia prisijungti prie kito žmogaus paskyros ir skaityti visą jo susirašinėjimo istoriją.


Prisijunk prie technologijos.lt komandos!

Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.

Sudomino? Užpildyk šią anketą!

IT ekspertas, tarptautinio saugumo klasterio direktorius Marius Pareščius spėjo, kad tai - programuotojų klaida, kurios šie nepastebėjo paleisdami programėlės atnaujinimą. Pašnekovas pabrėžė, kad tai – dar vienas priminimas įdėmiau saugoti savo informaciją, kuri piktavaliams gali būti tikras lobis.

Antradienio vakarą delfi.lt darbuotojas Robertas išsitraukė iš kišenės telefoną, nekreipdamas dėmesio į iššokusį langą, paspaudė „ok“ ir staiga suvokė, kad atsidarė kito kolegos Facebook susirašinėjimo dėžutę. Trečiadienio rytą, besiaiškinant problemos šaknis, jis lygiai taip pat – be jokių slaptažodžių – prisijungė prie trečio asmens Facebooko Messenger'io. Šie žmonės apie naują prisijungimą informuoti nebuvo, o Robertas iš jų dėžutės galėjo rašyti šių asmenų kontaktams.

Žalos mastas priklauso nuo piktavalio kėslų

Su situacija susipažinęs IT ekspertas, tarptautinio saugumo klasterio direktorius Marius Pareščius sakė nenustebęs dėl tokios situacijos.

„Iš virtualių įrodymų, kuriuos spėjo aptikti jūsų kolegos, panašu, kad problema – sujungtose Facebooko ir Instagramo programėlėse. Žmonės, kurie turi prieigą prie įmonės Instagramo, prie paskyros jungiasi per savo asmeninį Facebooko profilį. Įvyko taip, kad Facebookas, kuriam priklauso ir Instagramas, išleisdamas savo programėlės atnaujinimą nepastebėjo ir paliko galimybę išlaikyti tą pačią sesiją su kito vartotojo susieta paskyra. Bėda ta, kad nebuvo paprašyta papildomo autorizacijos jungiantis naujam žmogui. Manau, kad tai eilinė programuotojų klaida, kuri, kaip suprantu, jau ištaisyta“, - kalbėjo jis.

M. Pereščius prognozavo, kad tokių klaidų ateityje dar bus ne viena.

„Kalbant apie globalų tokį Facebooko-Instagramo bug'ą ir jo įtaką, manau, kad yra daug įmonių, kurios prižiūri kelias Instagramo paskyras, todėl vienas darbuotojas galėjo prisijungti prie kito asmens Instagramo arba Facebooko. Šiuo atveju yra rizika, kad didelės kompanijos, kurios už pinigus valdo socialinių tinklų profilius, turi galimybę parašyti, publikuoti tai, kam neturi teisės. Jei prisijungei su Facebooko susirašinėjimo programa „Facebook Messenger“, automatiškai prisijungi prie kito žmogaus paskyros. Skylė gana rimta – kažką publikuoji kito vartotojo teisėmis, kai kuriais atvejais gali būti labai rimtų nuostolių“, - perspėjo pašnekovas.

Jis pridūrė, kad priklausomai nuo to, kas pasinaudotų tokia spraga, priklausytų ir žalos mastas. Pavyzdžiui, piktadarys galėtų išjungti Facebooko paskyrą.

Ką daryti

Tokių situacijų nebūtų, jei sėkmingai veiktų dvigubos autorizacijos saugumo programa.

„Padėtų tai, kad tau į telefoną ateitų žinutė ir turėtum suvesti papildomą slaptažodį. Naudinga ir tai, kad tiek Messenger'is, tiek internetinė aplikacija turi galimybę peržiūrėti įrenginius, kuriuose buvo prisijungta, ir tai, kas ten buvo daryta. Tai yra patogu, tačiau jei prie tavo paskyros kažkas jungsis naktį, tu greičiausiai būsi išsijungęs garsą ir to nesužinosi iki ryto. Dar daugiau, jei veiksmus atlieka ne kitas vartotojas, o jie vykdomi automatizuotu būdu, jie atliekami per sekundės dalis ir tiesiog fiziškai nespėsite nieko padaryti, jūsų paskyra bus užblokuota ir visą dieną vargsite mėgindami ją susigrąžinti“, - scenarijų piešė M. Pareščius.

Paklaustas, kaip išvengti blogiausių padarinių, pašnekovas buvo tiesmukas – derėtų išvis nenaudoti Facebooko.

„Tai yra kardinaliausia, tačiau saugiausia priemonė. Antra, prisijungus prie Facebooko ir baigus darbą visada nuo jo atsijungti. Visada naudokitės dviguba autorizacija, kad slaptažodis jums ateitų sms žinute ir tik tada prisijungtumėte. Taip automatiškai matysite ir kitus įrenginius, kuriuose galbūt netyčia likote įsiregistravę“, - pabrėžė jis.

M. Pereščius teigė, kad turėtume dėmesingiau vertinti savo duomenis.

„Ar tai būtų virusų plėtimas, ar žmogiška klaida programinėje įrangoje, ar hakeriai, kurie patys sau pasidarė „skylę“ ir įsilaužę kažką daro. Yra tamsieji tinklai (dark net), kur nulaužtą jūsų google prisijungimą pardavinėja už 2-10 eurų. Visada turite manyti, kad kažkas piktavalis stovi už nugaros ir stebi jus viena akimi“, - patarė jis.

Šįkart negalioja ir pasiteisinimas, kad „aš paprastas žmogus, neturiu slaptos informacijos, todėl nieko nedominu“.

„Paskaičiuokite, kokio dydžio paskolą galėčiau pasiimti, turėdamas jūsų duomenis. 10, 20, 50 tūkst. eurų per keletą valandų? Nakties metu turėdamas vien jūsų mobilaus telefono duomenis, galėčiau prikrėsti eibių. Jei turėčiau bankinius duomenis, viskas tiesiog užtruktų greičiau. Jei neturėčiau, rasčiau būdą juos gauti – pakaktų banko sms žinutės, gsm paslaugų tiekėjo informacijos. Tokią informaciją trinkite, saugokite ir neleiskite niekam jos pasiekti“, - teigė saugumo ekspertas.

Dabar, pašnekovo teigimu, technologijos leidžia net skambinti jūsų telefono numeriu, nors telefonas guli saugiai jūsų kišenėje.

„Gal kol kas tai vienetiniai atvejai, bet jie tik primena, kad bet kas – valytoja, nebūtinai eilinis klerkas – privalo saugoti savo duomenis. Jūsų informacija yra lobis, uždarbis tiems, kurie jos ieško“, - reziumavo jis.

Pasidalinkite su draugais
Aut. teisės: delfi.lt
Autoriai: Giedrė Armalytė
(10)
(3)
(7)

Komentarai ()

Susijusios žymos: