Facebook avduket i januar i år Graph Search, en langt mer avansert søkefunksjon som fortsatt bare er tilgjengelig i en begrenset betatest.
Brandon Copley, en amerikansk utvikler, har fått tilgang til Graph Search og har eksperimentert litt med muligheten til å utnytte tjenesten i egne applikasjoner. På den måten skal han også ha oppdaget at programmeringsgrensesnittene gir utviklere muligheter som på grunn av datamengdene kan utgjøre en sikkerhetsrisiko. Dette skriver TechCrunch.
Ved hjelp av programmeringsgrensesnittene skal Copley ha forsøkt å samle sammen bortimot 2,5 millioner kombinasjoner brukernavn og telefonnummer til Facebook-brukere.
I praksis fikk Copley «bare» samlet inn noen tusen faktiske telefonnumre. Årsaken var at mange av oppføringene var blanke, mens andre brukere ikke opplyser telefonnumrene sine offentlig.
For metoden Copley benyttet, gir ikke tilgang til informasjon som Facebook-brukerne ikke vil dele med andre. Han mener det likevel utgjør et sikkerhetsproblem, fordi standardinnstillingen i Facebook er at denne informasjonen er offentlig tilgjengelig og søkbar. Dermed kan mye av informasjonen man kan samle inn, stamme fra brukere som er lite bevisste på hva de selv må gjøre for å begrense tilgangen til deres personlige informasjon.
Til TechCrunch forteller Copley at han varslet Facebook om dette allerede i mars. Da skrev han blant annet at han personlig brukte dataene til å finne en kriminell person, en som hadde solgt stjålne ting via Craiglist.
Mens man i Norge stort sett kan finne ut hvem som eier et telefonnummer ved å søke i tjenester som Gule Sider eller 1881, er ikke dette så vanlig i andre land.
I en e-post som Copley skal ha fått fra et medlem av Facebooks sikkerhetsgruppe, opplyses det at tjenesten allerede har beskyttelse mot dataskraping, blant annet når det gjelder mengde. Men det hindret ikke Copley i å hente data om nesten 2,5 millioner brukere, riktignok ved hjelp av litt oppfinnsomhet. I e-posten fra Facebook heter det også at selskapet bare kan oppfordre brukerne til å tenke på personvernet, men aldri vil kunne endre personverninnstillingene for dem.
Etter dette skal Facebook-kontoen til Copley ha blitt deaktivert flere ganger, uten at vedkommende i Facebooks sikkerhetsteam kunne se noen sammenheng mellom dette og Copleys datafangstvirksomhet.
Men i april fikk Copley et brev fra Facebooks juridiske avdeling med beskjed om at datainnsamlingen var ulovlig og måtte opphøre. Advokatene skal også ha krevd å få tilsendt all informasjon Copley hadde samlet inn og informasjon om hvordan det var blitt gjort.
Ifølge Copley skal advokatene også ha nevnt tilfellet Andrew Auernheimer, også kjent som «weev», som i 2010 oppdaget en sikkerhetsfeil i AT&Ts iPad-brukerdatabase, hentet ut informasjon om 114 000 iPad 3G-brukere og fortalte om dette til en skribent i Gawker Media før AT&T ble varslet. Auernheimer soner nå en dom på 41 måneder i fengsel.
_logo.svg.png){kind=logo}
TechCrunch understreker at det er en viktig forskjell mellom de to sakene, nemlig at informasjonen Copley har samlet sammen, er offentlig tilgjengelig.
Det skal fortsatt være uklart om Facebook vil saksøke Copley.
Les også:
- [26.06.2013] Basefarm opptatt i eksklusiv sikkerhetsklubb
