Wylogowanie nie pomoże…

636

A więc ciąg dalszy wątpliwej prywatności na serwisie społecznościowym Facebook. Tym razem małe śledztwo przeprowadził dosyć znany w świecie technologii internetowych Nik Cubrilovic – software developer. Zauważyć problem mógł już wcześniej każdy zaawansowany internauta, jednak Nik przedstawia sytuację bardziej szczegółowo. Coraz częściej słyszymy o Facebookowych udogodnieniach naruszających prywatność użytkownika. Cubrilovic donosi o kolejnych niedopatrzeniach giganta z Palo Alto. Problem wynika z nieprawidłowego działania tak zwanych “ciasteczek” (z ang. cookies).

Na swoim blogu Cubrilovic pisze: “Nawet po wylogowaniu się z Facebooka, niektóre pliki cookie (zawierające numer Twojego konta) są nadal przesyłane przy wszystkich żądaniach kierowanych pod adres facebook.com. Nawet jeśli się wylogujesz, Facebook może w dalszym ciągu śledzić każdą stronę, którą odwiedzasz. Jedynym rozwiązaniem tego problemu jest wykasowanie wszystkich ciasteczek z serwisu Facebook lub korzystanie z odrębnych przeglądarek dla aktywności powiązanych z Facebookiem.”

Poniżej prezentujemy wyniki jakie uzyskał Cubrilovic podczas przeglądania nagłówków HTTP przesyłanych przy żądaniach pod adresem facebook.com. Normalne żądanie (status użytkownika: zalogowany) :

Cookie:
datr=tdnZTOt21HOTpRkRzS-6tjKP;
lu=ggIZeheqTLbjoZ5Wgg;
openid_p=101045999;
c_user=500011111;
sct=1316000000;
xs=2%3A99105e8977f92ec58696cf73dd4a32f7;
act=1311234574586%2F0

Odpowiedzią serwera na żądanie wykonania funkcji wylogowania będzie natomiast poniższy kod :

Set-Cookie:
_e_fUJO_0=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly
c_user=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly
fl=1; path=/; domain=.facebook.com; httponly
L=2; path=/; domain=.facebook.com; httponly
locale=en_US; expires=Sun, 02-Oct-2011 07:52:33 GMT; path=/; domain=.facebook.com
lu=ggIZeheqTLbjoZ5Wgg; expires=Tue, 24-Sep-2013 07:52:33 GMT; path=/; domain=.facebook.com; httponly
s=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly
sct=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly
W=1316000000; path=/; domain=.facebook.com
xs=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly

Porównując otrzymane wyniki, już na pierwszy rzut oka widać, że dosyć spora część z inicjowanych ciasteczek nie zostaje usunięta. Dwa pliki otrzymują nową datę wygaśnięcia (locale oraz lu), a kolejne trzy zostają zainicjowane (W, fl, L).

Zaintrygowany tym faktem Cubrilovic postanowił wziąć pod lupę odpowiedź serwera na żądanie połączenia wysyłane przez niezalogowanego użytkownika. Oto co otrzymał :

Cookie:
datr=tdnZTOt21HOTpRkRzS-6tjKP;
openid_p=101045999;
act=1311234574586%2F0;
L=2;
locale=en_US;
lu=ggIZeheqTLbjoZ5Wgg;
lsd=IkRq1;
reg_fb_gate=http%3A%2F%2Fwww.facebook.com%2Findex.php%3Flh%3Dbf0ed2e54fbcad0baaaaa32f88152%26eu
%3DJhvyCGewZ3n_VN7xw1BvUw;
reg_fb_ref=http%3A%2F%2Fwww.facebook.com%2Findex.php%3Flh%3Dbf0ed2e54fbcad0b1aaaaa152%26eu%3
DJhvyCGewZ3n_VN7xw1BvUw

Mimo iż korzystamy z Facebooka jako niezalogowany użytkownik, to cookies nadal przetrzymują dane na temat numeru konta uprzednio zalogowanego użytkownika.

„Takie działanie jest niezgodne z istotą słowa wyloguj. Facebook jedynie edytuje stan ciasteczka, zamiast usunąć powiązane z nim dane”, pisze Cubrilovic na swoim blogu.”Korzystając z przeglądarki, nawet po wylogowaniu się z Facebooka za każdym razem kiedy odwiedzasz stronę z przyciskami „udostępnij”, „lubię to”, czy jakimkolwiek innym Facebookowym widgetem Twoje dane, wliczając w to numer ID, są wysyłane do Facebooka”.

Eksperyment

Cubrilowic wspomina również o pewnym eksperymencie: „Około roku temu, w ramach pewnego projektu programistycznego zmuszony byłem do operowania na kilkunastu kontach na Facebooku. Dosłownie stworzyłem kilkanaście odrębnych, fikcyjnych kont użytkownika. Korzystałem przy tym ciągle z tej samej przeglądarki. Po jakimś czasie zauważyłem, Facebook proponuje im moje prywatne konto jako znajomego. Jakimś sposobem Facebook wiedział, że wszystkie one pochodzą z jednej przeglądarki.

Taka polityka może mieć poważne konsekwencje, jeśli korzystamy z ogólnodostępnego urządzenia. Nawet jeśli po skorzystaniu z usług facebooka uda Ci się poprawnie wylogować, to do momentu permanentnego usunięcia plików cookies przez użytkownika ciągle pozostawiasz za sobą ślady – świadectwa Twojej uprzedniej aktywności. Połączenie numeru użytkownika z jego realnymi danymi nie stanowi żadnego problemu, gdyż do identyfikacji konta używany jest dokładnie ten sam numer.”

W świecie informacji cyfrowej, gdzie każdy cal powietrza przepełniony jest delikatnymi danymi, człowiek powinien posiadać szczególne prawo do prywatności. Okazuje się, że coraz częściej towarem dużo cenniejszym od pieniędzy są szczegółowe informacje na temat użytkownika.

Na podstawie : nikcub-static02.appspot.com