Хакер #305. Многошаговые SQL-инъекции
Прошлогодний скандал, связанный с компанией Cambridge Analytica, по-прежнему сказывается на репутации Facebook, и компания продолжает бороться с его последствиями. Напомню, что тогда была обнаружена утечка информации 87 млн человек, чьи данные в итоге оказались в распоряжении сторонних компаний, злоупотреблявших ими. Так как основным вектором работы Cambridge Analytica были алгоритмы анализа политических предпочтений избирателей, данные пользователей социальной сети, в частности, были использованы во время десятков избирательных кампаний в различных странах мира.
Весной прошлого года инженеры Facebook кардинально пересмотрели свой подход к приложениям и начали следить за тем, какое количество пользовательских данных попадает в руки разработчиков, а также стали обнаруживать и пресекать злоупотребления. Так, в апреле 2018 года была обновлена bug bounty программа Facebook, и люди, обнаружившие так называемый data abuse в стороннем приложении, могут получить за это вознаграждение в размере до 40 000 долларов. И уже в мае 2018 года социальная сеть отчиталась о блокировке первых нескольких сотен приложений, не соответствующих новым нормам.
Теперь, спустя полтора года после этих событий, вице-президент Facebook Име Арчибонг (Ime Archibong) сообщил, что компания по-прежнему активно борется со злоупотреблением данными и к настоящему моменту уже приостановила работу или блокировала окончательно десятки тысяч приложений, созданные более чем 400 разработчиками. Баны были связаны с предоставлением данных, полученных от Facebook, третьим лицам, публикацией данных без надлежащей защиты личностей пользователей, и другими явными нарушениями политик соцсети.
Арчибонг подчеркнул, что не все эти приложения представляли угрозу для пользователей: некоторые просто находились на этапе тестирования, а разработчики других приложений попросту не отреагировали на запросы Facebook вовремя.
Из многих тысяч выявленных нарушений вице-президент Facebook выделил несколько отдельно. Так, сообщается, что приложение myPersonality делилось пользовательскими данными с исследователями и компаниями, а его разработчики отказались участвовать в аудите, когда Facebook попыталась связаться с ними.
Кроме того, социальная сеть подала ряд судебных исков против разработчиков. Например, в суд подали на южнокорейскую компанию RankWave, которая тоже отказалась участвовать в расследовании и проводить аудит; на компании LionMobi и JediMobi за мошенничество с рекламой; а также иск был подан против двух граждан Украины, за создание приложений-викторин, которые незаметно воровали пользовательские данные.
«Мы избавились от нескольких API — каналов, которые разработчики используют для доступа к различным типам данных. Мы увеличили наши команды, посвященные расследованиям и защите от злоумышленников. Это позволит нам ежегодно проверять каждое активное приложение, имеющее доступ к пользовательской информации. И обнаружив нарушителей, мы предпримем ряд принудительных мер», — пишет Арчибонг.