Хакер #305. Многошаговые SQL-инъекции
В августе 2013 года специалисты по информационной безопасности из High-Tech Bridge опубликовали результаты эксперимента, в рамках которого проверяли, как веб-сервисы соблюдают конфиденциальность частной переписки. Эксперимент простой: на сервере генерировали уникальные непредсказуемые URL для каждого веб-сервиса, которые публиковались в электронных письмах, сервисах сокращения ссылок, социальных сетях, IM. Затем на сервере отслеживали, откуда пришли боты по «секретным» ссылкам. Оказалось, что несколько сервисов не соблюдают конфиденциальность. Среди них был и Facebook.
Сейчас американской компании предстоит ответить в суде за свои действия. Против нее подан коллективный иск в окружной суд Северной Калифорнии. Двое пользователей Facebook обвиняют социальную сеть в сканировании конфиденциальных сообщений, что может быть нарушением закона о приватности электронных коммуникаций (Electronic Communications Privacy Act). В документах для суда цитируется вышеупомянутый эксперимент.
«Сам по себе процесс автоматического сканирования ссылок для предотвращения фишинга, скама и фрода является несомненным плюсом для безопасности пользователей, — прокомментировал изданию «Хакер» Илья Колошенко, генеральный директор компании High-Tech Bridge. — Однако, мы не можем быть уверены, как дальше используется полученная информация: сохраняется ли она где-либо, имеют ли к ней доступ сотрудники Facebook или их партнеры. Поэтому тем, кто хочет передать конфиденциальную или личную информацию, лучше не пользоваться соцсетями для этих целей».
Есть подозрения, что Facebook сканирует содержимое не только конфиденциальных сообщений, но даже неопубликованные тексты, которые пользователь передумал публиковать. Набранный и удаленный текст якобы все равно хранится в базе Facebook. Представители социальной сети опровергают такие обвинения, мол, они всего лишь собирают статистику по случаям самоцензуры.
Истцы требуют от ответчика 100 долларов компенсации за каждый день, в течение которого нарушался Electronic Communications Privacy Act. Компенсация должна быть выплачена всем американским пользователям Facebook, которые изъявят желание ее получить.