Hopp til navigasjon Hopp til innhold
Facebooks måte å lagre lenker på gir for mye informasjon til utviklere om de velger å grave. (Ill.: Trond Bie/ITavisen)

Facebook-utviklere kan se hva du deler

Selskapet har en skremmende database-praksis.

Sikkerhetsforsker Inti De Ceukelaire har funnet ut at Facebook behandler private lenker delt i Messenger på en måte som ikke er bra for personvernet.

Får tilgang til for mye
De Ceukelaire klarte, ved hjelp av de rette API-kallene, å hente lenker delt av spesifikke personer i private samtaler. Lenkene ble samlet sammen av en Facebook crawler.

Det eneste som kreves er at de deles i en privat Messenger-sesjon, for da logges de i Facebooks database og svarer på API-kall.

Facebook nekter for at de tyvlytter på samtalene dine.

Kun for utviklere
Heldigvis må man være en registrert Facebook-utvikler for å gjøre dette, og skulle en av dem kjøre en haug med slike kall, vil trolig Facebook oppdage dette og trekke tilbake tilgangen til kontoen.

Det største problemet er lovligheten rundt dette da Facebook allerede har blitt saksøkt. Påstanden er nettopp den at Facebook scanner private meldinger og at lenker er søkbare i en Facebook-database kalt «Facebook Titan».

Selskapet hevdet at lenke-praksisen var lovlig, men påstår samtidig at mange av de tingene de gjorde med lenker tidligere, har de nå sluttet med, men det inkluderer ikke det som er beskrevet under.

Slik fungerer det
Slik forklarer sikkerhetseksperten lagringsmetoden til Facebook:

«Første gang du deler en lenke på Facebook, så scanner Facebook-crawleren lenken og henter ut tittel, beskrivelse og et miniatyr-bilde og gir deretter en unik identifikasjonsstreng og lagrer informasjonen.

Neste gang Facebook viser lenken, henter den enkelt og greit informasjonen som allerede er lagret i databasen. Det er ingenting galt med dette i utgangspunktet, i hvert fall ikke når dataene holdes hemmelige», forklarer han.

Problemet er at man ved hjelp av datagrunnlaget og kobling mot ID-er kan hente ut ganske mye informasjon som registrert utvikler, blant annet fornavn, sted og språk, vedlegg og bilder, app og spill-data og hemmelige lenker (blant annet i utgangspunktet hemmelige Google Drive-lenker som kan inneholde sensitiv informasjon, for eksempel lagret i Google Docs via Drive).

Inti De Ceukelaire har en glimrende grafisk presentasjon for nøyaktig hvordan lenkedeling fungerer i Facebook-plattformen.

 

Facebooks søkbare database lagrer det du deler.
Facebooks søkbare database lagrer det du deler.

 

Kilde:
Inti De Ceukelaire/Medium

Stikkord: facebook, personvern