Antradienio vakarą DELFI žurnalistai aptiko rimtą interneto milžinės „Facebook“ susirašinėjimo programėlės „Messenger“ spragą, kuri leidžia prisijungti prie kito žmogaus paskyros ir skaityti visą jo susirašinėjimo istoriją.
IT ekspertas, tarptautinio saugumo klasterio direktorius Marius Pareščius spėjo, kad tai – programuotojų klaida, kurios šie nepastebėjo paleisdami programėlės atnaujinimą. Pašnekovas pabrėžė, kad tai – dar vienas priminimas įdėmiau saugoti savo informaciją, kuri piktavaliams gali būti tikras lobis.
Antradienio vakarą DELFI darbuotojas Robertas išsitraukė iš kišenės telefoną, nekreipdamas dėmesio į iššokusį langą, paspaudė „ok“ ir staiga suvokė, kad atsidarė kito kolegos „Facebook“ susirašinėjimo dėžutę. Trečiadienio rytą, besiaiškinant problemos šaknis, jis lygiai taip pat – be jokių slaptažodžių – prisijungė prie trečio asmens „Facebook Messengerio“. Šie žmonės apie naują prisijungimą informuoti nebuvo, o Robertas iš jų dėžutės galėjo rašyti šių asmenų kontaktams.
Žalos mastas priklauso nuo piktavalio kėslų
Su situacija susipažinęs IT ekspertas, tarptautinio saugumo klasterio direktorius Marius Pareščius sakė nenustebęs dėl tokios situacijos.
„Iš virtualių įrodymų, kuriuos spėjo aptikti jūsų kolegos, panašu, kad problema – sujungtose „Facebooko“ ir „Instagramo“ programėlėse. Žmonės, kurie turi prieigą prie įmonės „Instagramo“, prie paskyros jungiasi per savo asmeninį „Facebooko“ profilį. Įvyko taip, kad „Facebookas“, kuriam priklauso ir „Instagramas“, išleisdamas savo programėlės atnaujinimą nepastebėjo ir paliko galimybę išlaikyti tą pačią sesiją su kito vartotojo susieta paskyra. Bėda ta, kad nebuvo paprašyta papildomo autorizacijos jungiantis naujam žmogui. Manau, kad tai eilinė programuotojų klaida, kuri, kaip suprantu, jau ištaisyta“, – kalbėjo jis.
M. Pereščius prognozavo, kad tokių klaidų ateityje dar bus ne viena.
„Kalbant apie globalų tokį „Facebooko“-„Instagramo“ „bugą“ ir jo įtaką, manau, kad yra daug įmonių, kurios prižiūri kelias „Instagramo“ paskyras, todėl vienas darbuotojas galėjo prisijungti prie kito asmens „Instagramo“ arba „Facebooko“. Šiuo atveju yra rizika, kad didelės kompanijos, kurios už pinigus valdo socialinių tinklų profilius, turi galimybę parašyti, publikuoti tai, kam neturi teisės. Jei prisijungei su „Facebooko“ susirašinėjimo programa „Facebook Messenger“, automatiškai prisijungi prie kito žmogaus paskyros. Skylė gana rimta – kažką publikuoji kito vartotojo teisėmis, kai kuriais atvejais gali būti labai rimtų nuostolių“, – perspėjo pašnekovas.
Jis pridūrė, kad priklausomai nuo to, kas pasinaudotų tokia spraga, priklausytų ir žalos mastas. Pavyzdžiui, piktadarys galėtų išjungti „Facebooko“ paskyrą.
Ką daryti
Tokių situacijų nebūtų, jei sėkmingai veiktų dvigubos autorizacijos saugumo programa.
„Padėtų tai, kad tau į telefoną ateitų žinutė ir turėtum suvesti papildomą slaptažodį. Naudinga ir tai, kad tiek „Messenger“, tiek internetinė aplikacija turi galimybę peržiūrėti įrenginius, kuriuose buvo prisijungta, ir tai, kas ten buvo daryta. Tai yra patogu, tačiau jei prie tavo paskyros kažkas jungsis naktį, tu greičiausiai būsi išsijungęs garsą ir to nesužinosi iki ryto. Dar daugiau, jei veiksmus atlieka ne kitas vartotojas, o jie vykdomi automatizuotu būdu, jie atliekami per sekundės dalis ir tiesiog fiziškai nespėsite nieko padaryti, jūsų paskyra bus užblokuota ir visą dieną vargsite mėgindami ją susigrąžinti“, – scenarijų piešė M. Pareščius.
Paklaustas, kaip išvengti blogiausių padarinių, pašnekovas buvo tiesmukas – derėtų išvis nenaudoti „Facebooko“.
„Tai yra kardinaliausia, tačiau saugiausia priemonė. Antra, prisijungus prie „Facebooko“ ir baigus darbą visada nuo jo atsijungti. Visada naudokitės dviguba autorizacija, kad slaptažodis jums ateitų SMS žinute ir tik tada prisijungtumėte. Taip automatiškai matysite ir kitus įrenginius, kuriuose galbūt netyčia likote įsiregistravę“, – pabrėžė jis.
M. Pereščius teigė, kad turėtume dėmesingiau vertinti savo duomenis.
„Ar tai būtų virusų plėtimas, ar žmogiška klaida programinėje įrangoje, ar hakeriai, kurie patys sau pasidarė „skylę“ ir įsilaužę kažką daro. Yra tamsieji tinklai (dark net), kur nulaužtą jūsų „Google“ prisijungimą pardavinėja už 2–10 eurų. Visada turite manyti, kad kažkas piktavalis stovi už nugaros ir stebi jus viena akimi“, – patarė jis.
Šįkart negalioja ir pasiteisinimas, kad „aš paprastas žmogus, neturiu slaptos informacijos, todėl nieko nedominu“.
„Paskaičiuokite, kokio dydžio paskolą galėčiau pasiimti, turėdamas jūsų duomenis. 10, 20, 50 tūkst. eurų per keletą valandų? Nakties metu turėdamas vien jūsų mobilaus telefono duomenis, galėčiau prikrėsti eibių. Jei turėčiau bankinius duomenis, viskas tiesiog užtruktų greičiau. Jei neturėčiau, rasčiau būdą juos gauti – pakaktų banko SMS žinutės, GSM paslaugų tiekėjo informacijos. Tokią informaciją trinkite, saugokite ir neleiskite niekam jos pasiekti“, – teigė saugumo ekspertas.
Dabar, pašnekovo teigimu, technologijos leidžia net skambinti jūsų telefono numeriu, nors telefonas guli saugiai jūsų kišenėje.
„Gal kol kas tai vienetiniai atvejai, bet jie tik primena, kad bet kas – valytoja, nebūtinai eilinis klerkas – privalo saugoti savo duomenis. Jūsų informacija yra lobis, uždarbis tiems, kurie jos ieško“, – reziumavo jis.