Tietoturva

F-Securen tutkija epäilee löytäneensä Facebookista pahan aukon – ”voi koskettaa miljoonia”

Julkaistu:

Facebook
F-Securen tutkija törmäsi täysin sattumalta virheeseen, joka paljastaa jo poistettuja päivityksiä.
Suomalaisen tietoturvayhtiö F-Securen asiantuntija Sean Sullivan on huomannut Facebookissa kummallisen virheen. Hän on löytänyt palvelusta useita tilapäivityksiään, jotka hän varmasti oli poistanut.

Tästä todistavat esimerkiksi päivitykset, jotka hän oli ensin poistanut kirjoitusvirheiden takia ja sitten julkaissut uudelleen. Molemmat päivitykset olivat edelleen nähtävissä.

Kaikki poistetut, mutta edelleen näkyvissä olevat päivitykset on tehty ennen syyskuuta 2009. Sullivanin mukaan ongelma saattaa koskettaa kaikkia Facebookin käyttäjiä, jotka ovat poistaneet päivityksiä palvelusta tätä ajankohtaa ennen.

– Se on mahdollista. Voi olla, että tämä koskettaa miljoonia Facebook-käyttäjiä. Olen varma, että en ole ainoa ihminen maailmassa tässä tilanteessa, Sullivan kertoo IS Digitodaylle.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Sullivan ei paljasta tapaa, jolla hän poistettuja päivityksiään löytää. Se voisi saada aikaan matkijoita, joiden tarkoitusperät eivät kestäisi päivänvaloa. Mutta periaatteessa on mahdollista, että joku pystyisi käyttämään virhettä muiden käyttäjien jo poistamien päivitysten katsomiseen.

Sullivan testasi, että myös eräs hänen kaverinsa pystyi näkemään Sullivanin poistamia päivityksiä. Asiantuntija ei usko, että bugi on kovin kiinnostava kyberrikollisille. Mutta muita uhkia on näköpiirissä.

– Olen enemmän huolissani ihmisoikeuksista. Esimerkiksi joku autoritaarinen valtio voisi ottaa kohteekseen jonkun, joka teki kommentin seksuaalisesta identiteetistään vuonna 2009 tai sitä ennen. Se on teoreettista, mutta mahdollista.

Rikkooko Facebook lakia?

Virhe voi Sullivanin mukaan myös tarkoittaa, että Facebook rikkoo viikon päästä voimaan astuvaa Euroopan unionin GDPR-tietosuoja-asetusta. Se antaa käyttäjälle oikeuden kaikkiin tietoihin, joita verkkopalvelu hänestä säilyttää. Ja nämä poistetut, mutta edelleen näkyvät päivitykset eivät ole mukana siinä käyttäjätietojen arkistossa, jonka Facebook antaa käyttäjien ladata.

GDPR antaa käyttäjille myös oikeuden poistaa tietojaan verkkopalveluista, ja Facebook saattaa rikkoa asetusta myös säilyttämällä palvelimillaan vanhoja päivityksiä, jotka käyttäjä on jo luullut poistaneensa.

Sean Sullivan ei ollut uutisen tekohetkellä raportoinut ongelmasta Facebookille, koska hän ei vielä ollut täysin varma sen laajuudesta tai siitä, kuinka virhe oikein ilmenee. Sullivan kohtasi virheen, koska hän on virittänyt nykyisin käyttämättömän Facebook-tilinsä erikoisella tavalla.

Facebook uudisti muun muassa Uutiset-sivua vuonna 2009, mikä ilmeisesti käsitti myös muutoksia tietokantoihin. Kenties tämän vuoksi Sullivan ei ole onnistunut katsomaan sen jälkeen julkaisemiaan ja sittemmin poistamiaan päivityksiä. Tämä kertoo myös siitä, että ainakaan ennen Facebook ei varsinaisesti tuhonnut käyttäjien poistamia päivityksiä, vaan ainoastaan merkitsi ne poistetuiksi.

Yksi Sullivanin teoria on, että Facebookin GDPR:n takia tekemät muutokset ovat kenties ironisesti laukaisseet poistettuja päivityksiä esittävän bugin.

Facebookilta on pyydetty kommenttia, mutta yhtiö ei ole vastannut pyyntöön ennen uutisen julkaisua.

Kommentit

    Näytä lisää
    Kommentointi on päättynyt