Na stopě Facebookaféry
Ron Bowes pomocí vlastního skriptu získával veřejně přístupné údaje z Facebooku, uložil je k sobě a soubor pak distribuoval skrz známý torrentový tracker The Pirate Bay (pouze torrent, skutečné soubory jsou na počítačích uživatelů, abychom byli přesní). To je v podstatě vše a v jádru měla všechna média pravdu. Kdo si soubory stáhnul, zjistil, jak je to ve skutečnosti. Několik (objemných) textových souborů obsahovalo pouze kusé informace o jménu uživatele, jeho ID (jedinečné identifikační číslo) a URL (přesná adresa) profilu. Jedná se o veřejně přístupná data, bez kterých by síť fungovat nemohla a tyto informace povinně sdílí všichni uživatelé.
Krátce po vydání naší novinky jsme o přesném obsahu torrentu ještě nevěděli a autorův blog pod náporem nových uživatelům nestíhal a byl nedostupný. Když web na chvíli naběhnul a soubor se mi podařilo uložit, aktualitu jsem doplnil o nově zjištěné údaje. Ron Bowes opravdu jen sbíral a třídil tato data, dokonce udělat několik zajímavých tabulek.
Třeba, že nejčastější jméno je Michael (977 014 případů), John (963 393) a David (924 816), u příjmení vede Smith (913 465), Johnson (571 819) a Jones (512 312). Jeho databáze nebyla kompletní, ale čítala pouze okolo 170 milionů uživatelů (z 500 milionů). Sto milionů z nich bylo unikátních, zbytek mrtvé duše a duplikáty. Třeba sebe jsem v seznamu neobjevil, ale Čechů i Slováků tam bylo mnoho.
Tyto údaje jsou ale veřejně dostupné, sbírat je může kdokoli (i když je to v rozporu s podmínkami Facebooku). Ron Bowes tento úkon pouze zautomatizoval několikařádkovým skriptem, který se v torrentu nachází také. Dokonce i samotný Facebook k tomu nabízí jednoduchou stránku facebook.com/directory, na které můžete procházet a získávat veřejná data v přehledném seznamu. Takové větší zlaté (modré) stránky.
Tak třeba Mark Zuckerberg, zakladatel a ředitel Facebooku. Toto jsou data, která získával Bowes.
"id": "4",
"name": "Mark Zuckerberg",
"first_name": "Mark",
"last_name": "Zuckerberg",
"link": "http://www.facebook.com/zuck",
"gender": "mu\u017e",
"locale": "en_US"
Vidíme Zuckerbergovo celé jméno, ve zvláštním řádku také pouze křestní a příjmení, adresu jeho profilu, pohlaví (muž), nastavení jazyka a identifikační číslo (také jsem čekal, že bude mít jedničku :-)). Tyto informace najdete pomocí Open Graph ke každému uživateli. Nebo stačí pokročilejší dovednosti s Googlem či jiným vyhledávačem.
Zase takové terno to není, viďte? Kdyby chtěl (a možná to v budoucnu udělá), může získat mnohem více detailů. Lidé veřejně sdílejí své adresy, telefonní čísla, fotografie, příspěvky, videa apod.
Kapitolu jsem proto na Cnews uzavřel a čekal, co se bude dít dál. Média úřadovala, jak jsem tiše předpokládal. Postupně všechna velká zpravodajství přinesla více či méně pravdivé informace také. Některé dokonce uvedly jako zdroj BBC, jiné jen informace ukradly bez zachování kreditu vůči původním autorům. Pak už jen někteří vzali fixy a informace přibarvily.
Hříchy českých novinářů
Třeba Lupa píše: „Soubor mající téměř 3 GB obsahuje vedle jmen uživatelů třeba také telefonní čísla nebo data narození.“ Taková data v souboru uložena nejsou. Opravdu. Už na to upozornili čtenáři, redakce nereaguje.
Technet: „Celý soubor čítající necelé 3 GB dat je volně ke stažení na internetu. Největší radost z něj asi budou mít spammeři. Zadarmo mohou získat slušnou databázi aktivních kontaktů.“ Žádné kontakty (e-mail, IM, telefon, adresa) v souboru nejsou. Není kam odeslat spam. Jméno osoby k tomu nestačí.
Živé.sk: Ti pro změnu kombinují obě chyby dohromady.
ČT24 má informaci v podstatě v pořádku, ale videoreportáž ČT, kterou odvysílali i v televizi, je úplně špatně.
iHNed.cz: „Olej do ohně přilil bezpečnostní analytik Ron Bowes, který s pomocí specializovaného softwaru posbíral informace o účtech uživatelů, kteří nepoužili možnosti bezpečnostního nastavení a své informace a fotografie nechali otevřené světu.“ Žádné fotografie, nastavení soukromí na aféru nemělo vůbec vliv.
Novinky.cz: „Složka obsahuje jména účtů a přesné webové adresy jednotlivých profilů. Na nich je možné najít adresy, data narození či telefonní čísla uživatelů. Tito lidé však své soukromí nikterak výrazně nechránili,“ a pokračují.
„Pro provozovatele sítě je daleko nepříjemnější fakt, že ze stránky uživatele můžete zobrazit celý list jeho přátel. Tam je pak možné najít i uživatele, kteří si v bezpečnostním nastavení určili, že chtějí být pro cizí uživatele nevyhledatelní.“ Úplně postavené na hlavu. Adresy ani další zmíněné údaje Bowes nezískal (tedy možná ano, ale neposlal dál internetem). S přáteli to nemá co dělat.
Hlouposti píšou i bulvární TN.cz, Blesk a možná další.
Hlavní nešvary tedy byly podobné. Dalo se tomu předejít správným pochopením původního zdroje (a hlavně jeho uvedení pro čtenáře), ověřením informace buď pomocí stažení souboru nebo na blogu autora. A také většina článků špatně papouškovala autorovo jméno. Jmenuje se Bowes, nikoli Bowles (jak píše i BBC).
Stačilo přitom naslouchat komentářům pod články, všimli si toho čtenáři, profesionální autoři nikoli. A s opravou se také nemazlí. To je hlavní důvod, proč o aféře píšu ještě jednou. Chyby děláme všichni, ale někteří se k nim nechtějí postavit. Mluví i sám za sebe, není dne, kdy bych neudělal nějakou botu, ale po upozornění ji vždy s poděkováním opravím. Proto také zákeřně neodkazuju na původní česko-slovenské články, ale pouze na típnuté screenshoty.
Facebook může být nebezpečný
Facebook sám o sobě teoreticky není nebezpečný. Pokud se neobjeví nějaká kritická chyba a včas ji nevyužije útočník, uživatelé se nemusí bát. Naopak oni sami jsou největší hrozbou. Donedávna tomu přispíval i Facebook se složitých nastavením soukromí, které se rozkládalo v desítkách nabídek v několika úrovních. Před dvěma měsíci ale nastavení překopal do poměrně prosté podoby.
Klepněte pro zvětšení, nastavení je nyní jednodušší
Povinně musíte sdílet jen několik informací, které navíc stěží někdo použije proti vám. Fotka, jméno nebo pohlaví, to se ve spamu nedá nijak využít.
Ostatní možnosti jsou už pouze na vás. Buď si profil nastavte pořádně (facebook.com/privacy), nebo si znovu přečtěte podmínky užívání sítě a rychle odtamtud zmizte. Omluva se nepřijímá. Co o sobě šířit nechcete, tak ani na síti nepiště. Internet je to nejméně vhodné místo pro skrytá tajemství.
To ostatně bylo také důvodem Bowesova činu. Jen ukázal, že to jde snadno. Jeho následovatelé mohou vlastním skriptem získat mnohem více informací a klidně je prodat reklamním společnostem. Tím se nechci nijak zastávat Facebooku, jen v tomto případě v podstatě nenese žádnou zodpovědnost. Některé údaje musí být veřejné, jak jinak byste vyhledávali své přátele, když ne podle jména a fotky?
ČLÁNKY DO MAILU
