Руководство социальной сети Facebook сообщило во вторник, что в ходе внутреннего расследования был зафиксирован факт утечки личной информации пользователей на сторонние площадки. По данным ресурса, сбором информации занимался некий «брокер», который платил разработчикам приложений за технический доступ к личным данным. Такие приложения отслеживали сетевую активность пользователя по вычисленным ID-номерам.

В сообщении Facebook уточняется, что информация, попавшая в руки злоумышленников, состояла исключительно из ID-номеров страниц пользователей, таким образом третьи лица могли видеть только ту часть информации, которая была в открытом доступе. Иными словами, утечка данных не затронула пароли и информацию, которую пользователь посчитал нужным скрыть. Тем не менее специалисты полагают, что полученные данные могли использоваться мошенниками для составления профайлов, перепродаваемых впоследствии компаниям, занимающимся кадровыми поисками.

Черные брокеры

В сообщении, опубликованном в официальном блоге Facebook, имя заказчика такой информации не называется. Однако в нем же оговаривается, что соцсеть достигла некой договоренности с компанией RapLeaf, охарактеризованной как «брокер данных, согласившийся помочь с решением сложившейся ситуации». Между тем нет никакой ясности, причастна ли сама эта компания к утечке данных.

Как бы то ни было, руководство Facebook заявило, что согласно «договоренности» RapLeaf будет обязана удалить все ID-номера пользователей соцсети, которые находятся в ее распоряжении, а также прекратить любую деятельность, связанную с платформой Facebook.

Руководство соцсети подчеркивает, что, несмотря на то что скрытые данные оказались вне досягаемости опасных приложений, Facebook тем не менее считает такой род деятельности не этичным. «Это нарушение наших принципов, и мы относимся к этому со всей серьезностью»,— отмечается в сообщении.

Дюжина исполнителей

Кто бы ни был заказчиком этого сбора данных, очевидно, что он обращался за помощью к тем, кто обладает знанием технологических особенностей платформы. Между тем Facebook, не называя конкретных имен девелоперов, вовлеченных в дело, сообщил, что таковых было не более дюжины. Все они, по данным руководства сети, относятся к небольшим компаниями.

Вместе с этим Facebook объявил, что начиная с 1 января 2011 года разработчики приложений, передающих индивидуальный ID-номер пользователей поставщику контента, будут обязаны делать это с соблюдением анонимности.

Cегодня The Wall Street Journal, публикуя материал с официальным подтверждением данных своего расследования от лица руководства компании Марка Цукерберга, сообщила, что подобная схема утечки личной информации была зафиксирована и в MySpace.

Теневая сторона соцсети

Для разъяснения деталей сложившейся для пользователей Facebook ситуации GZT.RU связался со специалистом в области сетевых технологий, аналитиком по вирусной обстановке компании «Доктор Веб» Валерием Ледовским.

По словам эксперта, с технической точки зрения недобросовестным разработчикам приложений для получения доступа к данным пользователей не пришлось применять каких-то особых схем.

«Социальная сеть Facebook, как и многие другие популярные социальные сети сегодня поддерживают возможность создания приложений, работающих на базе веб-сайтов социальных сетей. При этом приложения имеют возможность собирать определенную информацию о пользователях, которые их используют. Когда появляется сторона, заинтересованная в получении этой приватной информации, авторы некоторых приложений продают информацию заинтересованным лицам за деньги. Так произошло и в этот раз»,— говорит господин Ледовской.

По его словам, в результате применения такой схемы заказчикам передавались только идентификаторы пользователей приложений, что помогало ему узнавать информацию об их предпочтениях. Подобная информация может также использоваться теми компаниями, которые формируют общие профили пользователей интернета.

«Несмотря на то что вроде бы никакие секретные данные в третьи руки так и не попали, такую ситуацию можно считать нарушением неприкосновенности частной жизни пользователей социальной сети. Если только пользователь не разрешает отправку такой информации явным образом перед использованием приложения»,— подчеркнул специалист.

Он также отметил, что вполне возможно, что сбор данных пользователей проводился ранее и проводится сейчас.

«Насколько нам известно, похожие случаи зафиксированы ранее не были, но это не означает, что подобные схем не использовались. Скорее никто не придавал этому большого значения. Приложения,
работающие на основе веб-сайтов социальной сети имеют возможность собирать приватную информацию пользователей и при необходимости передавать ее третьим лицам , в том числе в злонамеренных целях или для изучения предпочтений необходимой целевой аудитории. Кроме того, в подсистемах веб-сайтов соцсетей, обрабатывающих коды приложений, в последнее время обнаруживаются уязвимости, которые позволяют злоумышленникам получать доступ к приватной информации»,— рассказал господин Ледовской.

По его словам, в российских социальных сетях вполне возможно повторение подобного сценария.

«Мы не рекомендуем публиковать в соцсетях такую информацию, которую бы вы не хотели сделать общественным достоянием»,— подчеркнул специалист. Александр Богданов http://www.gzt.ru