Piotr Konieczny

konsultant ds. bezpieczeństwa, podróżnik,
hobbystycznie fuksiarz i gadżeciarz
szkot, prawie spadochroniarz...
nienawidzi zielonego.

« wszystkie wpisy |

Niedziela, 20 lipca 2008 :: 16:53:30
bugs, IT, programowanie, security

Dziura w Facebooku - wyciek dat urodzin

Niedawno opisałem ciekawy trik, który pozwala poznać imię i nazwisko dowolnego użytkownika GMaila. Dziś pokażę, jak można było poznać datę urodzin użytkownika z Facebooka...

Czy Facebook dostatecznie chroni Twoje dane?

Nawet, jeśli w swoim profilu na Facebooku ustawiłeś "ukrywanie" daty urodzin, atakujący mógł ją poznać. Pracownicy firmy Sophos dowiedli, że wystarczy udać się na testową stronę nowego Facebooka by poznać ukryte dane:



Wczoraj programiści Facebooka poprawili błąd.

Co się dzieje z tymi programistami?

Odnoszę dziwne wrażenie, że ostatnich pare miesięcy, to jakaś epidemia wycieków danych osobowych. Wspomnijmy chociaż skandale związane z Naszą-Klasą, ujawnienie przez Pekao S.A. przeszło tysiąca plików z CV, zaginione dyski brytyjczyków, czy wreszcie wspomniany wczoraj Google Calendar Hack (dodatkowo wiem o kilku innych, spektakularnych "wyciekach" poufnych danych ze znanych firm. Z różnych powodów nie wyciekły one do prasy :> Zapamiętajcie jedno: przypadków przełamań zabezpieczeń jest duuużo więcej niż widać w mediach).

Wychodzi więc na to, że większość błędów popełniają programiści podczas integracji lub testów nowych funkcjonalności w swoich serwisach (Facebook, Google). Miejmy nadzieje, że już niebawem standardem stanie się profesjonalne testowanie wypuszczanych aplikacji pod kątem bezpieczeństwa. Nie przez autorów kodu, ale przez wykwalifikowane, dedykowane temu zespoły. Programiści pracujący nad danym projektem, choćby nie wiem jak mocno się starali, zawsze będą patrzeć na własny kod w inny sposób niż osoba z zewnątrz, wuczulona nawet na tak nieznaczne błędy jak wyciek nazwiska, czy daty urodzenia...

A jak Ty testujesz swoje aplikacje? Czy korzystasz z porad specjalisty od bezpieczeństwa? Dlaczego, albo dlaczego nie?

• Następny post: Rejestracja w iTunes bez karty kredytowej
• Poprzedni post: GMail hacking - kto kryje się za adresem e-mail?

 

Chcesz być informowany o kolejnych wpisach na ten temat?
Kanał RSS: kliknij tutaj. Subskrybcja poprzez e-mail: kliknij tutaj.

 

Tagi:

« reszta wpisów | • trackback | ‡ torturuj posta!

Komentarze:

1. barnaba Niedziela, 20 lipca 2008, 17:10:28
 

No cóż, information wants to be free, code wants to be wrong. Może to nie tyle epidemia wycieków, co epidemia ujawniania? Jeszcze niedawno nie mieliśmy w Polsce serwisów, które gromadziłyby takie ilości danych osobowych jak nasza-klasa. Teraz mamy, więc może bardziej zwracamy uwagę na bezpieczeństwo tych danych?

 
2. kamre Niedziela, 20 lipca 2008, 17:52:43
 

Bezpiczenstwo pozornie nie przynosi zadnego ROI, wiec po co w nie inwestowac ;-).

 
3. Bigismall Niedziela, 20 lipca 2008, 20:12:53
 

U nas w firmie testuje się oprogramowanie, ale raczej pod kątem funkcjonalności. Czy formularze dobrze opisują błędy walidacji, i sprawdzają typy danych. Po programiście do kodu raczej już nikt nie zagląda. Nieciekawie trochę, bo dużo u nas studentów i praktykantów ...

 
4. Piotr Konieczny Niedziela, 20 lipca 2008, 21:58:46
 

barnaba: To ciekawe, co piszesz... Wychodzi wiec na to, ze z danymi osobowymi, jak z oprogramowaniem -- im popularniejszy program, tym czesciej atakowany (por. znajdowanie dziur w Windows vs. Linux, czy Firefox vs. IE vs. Opera).

kamre: słowo klucz "pozornie" :-P

Bigismall: Paradoksalnie, czesto studenci/praktykanci tworza kod z mniejsza iloscia bledow niz niejeden wyjadacz - ktory hackowanie "emacsem przez sendmail" ma w naturze od dawien dawna, kiedy o security w ogole sie nie mowilo ;-)

 
5. kamre Niedziela, 20 lipca 2008, 22:29:56
 

PK: To bylo stwierdzenie prowokacyjne z mojej strony ;-)

 
6. omg Poniedziałek, 21 lipca 2008, 17:39:24
 

Generalnie wszyscy wiedzą jak się nazywam, mają mój adres, znają panieńskie nazwisko matki, mają informacje o członkach rodziny, lecz nigdy nie poznają mojej daty urodzin!

 
7. sziwan Poniedziałek, 28 lipca 2008, 10:23:48
 

"podczas integracji lub testów nowych funkcjonalności"

FAIL :P

 

Dodaj komentarz:

Wyślij pustą wiadomość, aby śledzić komentarze przez bota.
Komentarze są własnością osób komentujących.
Właściciel bloga nie ponosi za nie odpowiedzialności.
Komentarze nie na temat będą usuwane.

Ofiara

Jeśli powyższy wpis przydał Ci się w jakiś sposób,

autorowi :-)

Czytelnicy:

« wszystkie wpisy