Firm: Facebook ‘Bug’ schlechter als gemeldet, auch Nicht-User betroffen

Die Sicherheitsforscher, die Facebook gefunden haben, Schattenprofile, Verwundbarkeit haben ihre Zahlen verglichen, was Facebook seinen Benutzern in E-Mails erzählte, und die Zahlen stimmen nicht überein.

Sie sagen, Facebook sagte Nutzer die Datenexposition ist viel weniger als das, was die Forscher gefunden, und die Forscher auch sagen, Facebook ist Horten Non-User-Kontaktinformationen – gesehen, wenn es auch geteilt wurde und in der Leckage ausgesetzt.

Freitag Facebook verkündete die Verlegenheit eines Bugs, den sie versehentlich die privaten Informationen von, über sechs Million Benutzern enthüllte, wenn Facebooks, vorher unbekannte Schattenprofile, versehentlich mit Benutzerkonten in den Datengeschichteaufzeichnungsanträgen verschmolz.

Seit mindestens 2012, Facebook-Nutzer, die das Download Your Information (DYI) -Tool verwendet, um ihre Daten Geschichte Datensatz zu erhalten bekam auch ein Adressbuch mit Kontakten Benutzer hatten noch nie für Facebook.

Facebook erklärte das Problem auf der Website Sonntag nach, Benutzer Ärger explodierte, – sagen, dass, wenn ein Facebook-Benutzer ein Adressbuch hochladen, erhält das soziale Netzwerk alle Kontakte in der Datenbank des Benutzers und speichert alle von ihnen.

Benutzer sind immer noch wütend und waren sich nicht bewusst, dass ihre Not-for-Sharing, Offsite-Telefonnummern und E-Mail-Adressen gesammelt, gespeichert, heimlich auf sie abgestimmt (und jetzt versehentlich geteilt) von Facebook.

In seinem Freitag E-Mail, offenbart Facebook die Sicherheit und Privatsphäre Fehler für die Nutzer, aber niemand wusste, dass Facebooks E-Mail nicht erzählte die ganze Geschichte – außer Sicherheits-Forscher Michael Fury (die ursprünglich gefunden die Anfälligkeit) und Kollegen bei Packet Storm Security (und Jemand leise ausnutzt die Datenverletzung).

Weil Packet Storm vorherige Testdaten hatte, die das Leck überprüfen konnten, konnten sie vergleichen, was sie wussten, wurde tatsächlich in den DYI Berichten enthüllt, was Facebook seinen Benutzern per E-Mail berichtete – sowie was Facebook der Presse erzählte.

Sicherheit, FBI verhaftet angebliche Mitglieder von Crackas mit Attitude für Hacking US gov’t Beamten, Security, WordPress fordert die Nutzer jetzt zu aktualisieren kritische Sicherheitslücken, Sicherheit, White House ernennt erste Bundes-Chief Information Security Officer, Sicherheit, Pentagon für Cyber ​​kritisiert -Notfall Reaktion durch die Regierung Watchdog

Packet Storm schrieb in Facebook: Math of the Aftermath

Wir haben Facebook-E-Mail-Benachrichtigungsdaten mit unseren Testfalldaten verglichen. In einem Fall stellten sie fest, dass 1 [eine] zusätzliche E-Mail-Adresse offenbart wurde, obwohl 4 Datenstücke tatsächlich offenbart wurden.

Für eine andere Person, sie nur erzählte ihm etwa 3 von 7 Stück Daten wurden offenbart.

Es scheint nicht, dass sie irgendwelche zusätzlichen Schritte an diesem Punkt nehmen, um die reale Größe der Belichtung zu erklären und wir vermuten, dass die Zahlen viel höher sind.

Die Aussage, dass “keine anderen Informationen über Sie gezeigt wurde” scheint ein roter Hering zu sein. Wir fragten Facebook, was dies für Nicht-Facebook-Nutzer bedeutet, die ihre Informationen auch offengelegt haben.

Die Antwort war einfach – sie wurden nicht kontaktiert und die Informationen wurden nicht gemeldet. Als eine Milliarde Benutzer ihre Kontakte hochladen, werden ihre Partner auf und weg von Facebook alle gespeichert und korreliert.

An dieser Stelle kann Facebook E-Mail-Adressen und Telefonnummern auf jeder, Facebook-Nutzer oder nicht haben.

Als er zu einem Kommentar über den “Math of the Aftermath” -Paket von Packet Storm Security erreichte, lehnte er es ab, zu kommentieren, dass alles, was es zu diesem Thema zu sagen hatte, in seinem Freitag-Blogposten stand – eine Wiederholung der Informationen, die Packet Storm widerspricht.

Das soziale Netzwerk sagte, dass es erhält und übereinstimmt die offsite-sourced Daten zu Benutzerprofilen – Schatten-Profile – “, um besser Freund-Vorschläge” für den Benutzer.

Dies scheint das erste Mal, wenn Facebook öffentlich zugestanden hat, dass die Schattenprofile der Nutzer mehr als native Daten enthalten (z. B. Beiträge oder Informationen, die Sie gelöscht haben, aber von Facebook beibehalten werden) und auch Daten enthalten, die Facebook von anderen Benutzern erntet.

Nach der Erfahrung der letzten Woche glaubt Packet Storm, dass Facebook “erschreckendes” Schattenprofil “Dossiers auf allen möglichen” – einschließlich Menschen ohne Facebook-Konten – zusammenstellt.

Beunruhigt durch ihre Schwierigkeiten versuchen, mit Facebook über ihre Benutzer private Daten, Benutzer Zustimmung und hohe Risiko Datenerhaltung Praktiken, sagte Packet Storm in seinem Freitag Post, Facebook: Wo sind Ihre Freunde Ihre schlimmsten Feinde

Wenn Sie das heruntergeladene Archiv öffnen, befindet sich eine Datei namens addressbook.html. Diese Datei soll die von Ihnen hochgeladenen Kontaktinformationen speichern.

Allerdings, aufgrund eines Fehler in wie Facebook implementiert, es auch untergebracht Kontaktinformationen aus anderen Uploads andere Benutzer für die gleiche Person durchgeführt haben, vorausgesetzt, Sie hatten ein Stück passende Daten, effektiv Gebäude große Dossiers auf Menschen.

In unseren Tests, fanden wir, dass das Hochladen einer öffentlichen E-Mail-Adresse für eine Person könnte ernten ein Dutzend zusätzliche Stücke von Kontaktinformationen. Es sollte auch beachtet werden, dass die Sammlung dieser Informationen für alle hochgeladenen Daten geht, unabhängig davon, ob Ihre Kontakte Facebook-Nutzer sind oder nicht.

(…) Unsere erste Frage bezweckte, dass Facebook im Namen gemeinsamer Anständigkeit und Privatsphäre jemals verpflichtet wäre, Informationen von Personen, die kein bekanntes Facebook-Konto haben, automatisch zu verwerfen?

Ihre Antwort war im Wesentlichen, dass sie an [alle] Kontakte denken, die von einem [einzelnen] Benutzer als Benutzerdaten importiert wurden und ihnen [Facebook] erlaubt wird, damit zu tun, was sie wollen.

Beunruhigend, Facebook abgelehnt, um viele von Packet Storm die entscheidenden Fragen zu beantworten, und an einem Punkt Facebook tatsächlich gesagt, Packet Storm, dass Facebook stand auf First Amendment Rechte mit dieser Datenerhebung Politik.

Die Politik ist, dass in diesem Bereich Ihre Daten nicht Ihre ist, es gehört Ihren Freunden, und nach seinen Regeln Ihre Freunde – oder nur Menschen, die Sie kennen – haben mehr Kontrolle über Ihre Daten als Sie tun.

Facebook’s DYI Geschichte Feature rollte im Oktober 2010 auf mehr als 500 Millionen Facebook-Nutzer über die Zeitspanne von einer Reihe von Monaten. Rechtsanwälte schrieben über die Verwendung DYI als Entdeckungstool für Gerichtsverfahren, sowohl für Kunden und Gegner.

Ein Monat nachdem Facebook-DYI-History-Download-Tool wurde auf 500 Millionen Nutzer, November 2011 gerollt, die US Federal Trade Commission (FTC) ihre Beschwerde mit Facebook über Änderungen der Website im Jahr 2009 im Hinblick auf die Privatsphäre der Nutzer, dass die Bundesregierung namens ” Unfair und trügerisch. ”

Nach der Vereinbarung von 2011, Facebook: “darf nicht in irgendeiner Weise, ausdrücklich oder implizit, inwieweit sie die Privatsphäre oder die Sicherheit der abgedeckten Informationen beibehält, falsch darstellen.”

Darüber hinaus wurde Facebook befohlen, “die Nutzer zu benachrichtigen und ihre Zustimmung zu erhalten, bevor sie Informationen weitergeben”, dass “die Einschränkungen, die durch die Datenschutzeinstellungen eines Benutzers verhängt werden, erheblich übersteigen”.

Dies bedeutete, dass Facebook Nutzer brauchen würde, um zuzustimmen, bevor er seine Daten auf eine Weise teilt, die anders ist, als Benutzer ursprünglich vereinbart haben.

Leider hat es nicht gesagt, etwas über Daten oder Informationen Facebook erhält von einem Benutzer Freunde, behalten und Schatten-Profile unter dem Banner der “bessere Empfehlungen für Freunde”.

Im Dezember 2011 ging Max Schrems von Wien, Österreich, einen Schritt weiter als das Herunterladen seiner eigenen Informationen und schickte eine formale Anfrage an Facebook zitiert Europarecht und bat um seine Daten. Er erhielt eine CD mit 1.222 Dateien.

Das verstörende Detail seines Facebook-Dossiers beinhaltete Gegenstände, die er gelöscht hatte: mag, unähnlich und eine Fülle von Informationen über die Aktivitäten seiner Freunde und sogar ihren Aufenthaltsort zu einem bestimmten Zeitpunkt.

Ab Juni 2013 gibt es 1,11 Milliarden Facebook-Nutzer, mit 665 Millionen aktive täglich. Der Umsatz im Jahr 2012 belief sich auf 5,09 Milliarden US-Dollar. Die Anzahl der Nutzer, die das Tool “Download Your Information” im Jahr 2012 nutzen, ist unbekannt, wenn sie für Kommentare zur Häufigkeit der Nutzung gefunden wurden, erklärte Facebook der Website, dass die DYI-Nummern nicht öffentlich zugänglich sind.

Wir werden wahrscheinlich nie wissen, wie viele Menschen erhalten Facebook-Schatten Profil-Daten auf andere.

In ihrer jüngsten Post, warnte Packet Storm, dass über die ungeheure Privatsphäre Verletzungen in Facebook die Ansprüche auf Eigentum an Daten über Benutzer nicht mit ihrer Zustimmung erhalten, oder die Dossiers auf Menschen, die nicht auf Facebook gebaut werden

Wir können nie wissen, die wahre Zahlen um die Offenlegung, aber die Haftung der Unterkunft dieser zusätzlichen Daten offensichtlich.

Regierungen beiseite, zeigt die Geschichte, dass Facebook wurde erfolgreich durch chinesische Hacker und bekannte bösartige Hacker ausgerichtet.

FBI verhaftet angebliche Mitglieder von Crackas mit Haltung für das Hacken US gov’t Beamte

WordPress fordert Benutzer auf jetzt zu aktualisieren kritische Sicherheitslücken zu aktualisieren

White House ernennt ersten Chief Information Security Officer

Pentagon kritisiert für Cyber-Notfall-Reaktion durch die Regierung Watchdog