Spoločnosť Apple sme v posledných dvoch postoch chválili, ale dnes to tak nebude. Apple totiž dočasne zneprístupnil funkcionalitu skupiny v aplikácii FaceTime, aby rýchlo vyriešil chybu, ktorá používateľom umožnila počúvať ľudí, ktorých volali, a to skôr ako bol hovor z ich strany prijatý. Za určitých okolností táto chyba tiež umožnila volajúcim zobraziť aj video volanej osoby.

Radi by sme priniesli ohľadom sociálnej siete Facebook aj pozitívne správy, venujeme sa však ochrane súkromia a v tejto oblasti Facebook neexceluje. Posledná novinka z ich kuchyne hovorí o novej aktualizácii, ktorá odstavila nástroje, ktoré presne zobrazujú ako je na používateľov cielená reklama. Odrazu tak prestali fungovať nástroje od ProPublica, Mozilla and Who Targets Me.

Facebook tvrdí, že cieľom aktualizácie je bezpečnosť, ktorú môžu narušiť treťostranné pluginy do internetových prehliadačov. Oznámil tiež vytvorenie vlastného archívu reklám. Je však obmedzený len na pár krajín a ani len v USA nezahŕňa všetky reklamy.

Na Facebooku sa hrali aj 5-ročné deti a z kreditiek svojich rodičov minuli stovky až tisíce dolárov. Šokovaným rodičom potom FB odmietol vrátiť peniaze. Okrem toho sa zamestnanci spoločnosti Facebook vyjadrovali o deťoch s veľkými účtami ako o „veľrybách“.

A to je len pár zaujímavostí, ktoré vyplávali na povrch pri hromadnej žalobe vedenej voči Facebooku v USA, pre neoprávnené profitovanie z obchodných transakcií s deťmi.

Nehovoriac o tom, že vekový limit pre používanie sociálnej siete je ďaleko vyšší.

Nezvykneme linkovať bulvár, ale v tomto prípade poukazuje na najklasickejšie zlyhanie oprávnenej osoby. Zamestnanci, ktorí pri svojej práci prichádzajú do styku s osobnými údajmi spravidla vedia, že majú povinnosť mlčanlivosti. Nie všetci si však uvedomujú, že táto mlčanlivosť sa vzťahuje aj na používanie osobných údajov, ktoré je pre súkromné účely mimo práce úplné vylúčené.

Na zlodejov toaletného papiera nasadili v pekingskom Temple of Heaven technológiu rozoznávania tváre. Správcovia tohto miesta zaradeného do Svetového dedičstva organizáciou UNESCO nainštalovali výdajník toaletného papiera, ktorý návštevníka požiada o naskenovanie tváre a až potom mu poskytne presne určené množstvo papiera. Dôvodom boli jeho časté krádeže a spotreba takto klesla o 80%. O zásade primeranosti, ktorá je jedným z pilierov práva na ochranu osobných údajov však pri takomto získavaní dát nemôže byť ani reči.

 

Nepoučiteľná armáda – FAIL

Niektorí prevádzkovatelia sú skutočne nepoučiteľní. Nie je tomu tak dávno čo sa médiami prehnala kauza strateného/objaveného USB kľúča s osobnými údajmi profesionálnych vojakov a príbeh sa znovu opakuje. A tak máme nový USB kľúč (našiel ho náhodný chodec a odovzdal TV JOJ, ktorá ho vrátila armáde, viď včerajšie správy na JOJ-ke) a ďalšie údaje v rukách neoprávnených osôb, pričom podobnosť s predchádzajúcim prípadom nebude vôbec náhodná.

Už minulá kauza mala byť podnetom k úprave podmienok spracúvania osobných údajov u prevádzkovateľa s takto závažným bezpečnostným incidentom. Prvým a nie posledným krokom, ktorý musí nasledovať po takto bezprecendentnom úniku dát je úprava bezpečnostného projektu a zavedenie prísnejších opatrení do praxe. V tomto prípade by bol postačujúce šifrovanie (pričom pôvodne USB kľúče zakázali úplne). Pokiaľ by bol USB kľúč šifrovaný tak by jediným rizikom (nehľadiac na rozšifrovanie) bola strata údajov, ak by neexistovala záložná kópia. Chodec by kľúč otvoril, sformátoval a používal pre svoje potreby. Zneužitie údajov by nehrozilo ani v prípade, že sa nálezca nezachoval takto zodpovedne.

Zdá sa, že ani hrozba pokuty zo strany Úradu na ochranu osobných údajov SR a ani vyšetrovanie Vojenskej polície nepopchlo kompetentných v ozbrojených silách, aby urobili čo mali – prijali opatrenia na zabezpečenie spracúvaných osobných údajov. Dúfajme, že tento nový prípad bude pre to konečne dôvodom.

Ukecaný Facebook alebo nechcená identifikácia v praxi

Informácia o tom, že Facebook o nás môže povedať viac ako by sme chceli, nie je žiadnou novinkou. Koncom minulého roka sa však objavila správička o tom, že to dokáže šokujúcim spôsobom úplne bez vedomia užívateľa.


 

Útočník sa zmocní informácií z profilu užívateľa, ktorý navštívi jeho stránku a zároveň má v inom tabe (karte) internetového prehliadača otvorený Facebook, do ktorého je prihlásený alebo dokonca nemá ani otvorený Facebook, len sa predtým neodhlásil.

Bloger, ktorý tieto informácie zverejnil sám hovorí, že nejde o CSRF, ale navrhuje pre svoju metódu názov Cross-Site Identification (CSID), teda čosi ako „Krížová identifikácia medzi internetovými stránkami“. Prevádzkovateľ stránky, ktorá použije metódu CSID na svojich užívateľov tak získa možnosť urobiť z anonymných súrferov konkrétnych ľudí. Vedomosť o identite návštevníka webu má potom široké využitie a možnosti zneužitia sú až hrozivo rozsiahle.