Vilnietis aptiko pavojingą feisbuko spragą: galėjau skaityti kito žmogaus susirašinėjimus

 (52)
Antradienio vakarą DELFI žurnalistai aptiko rimtą interneto milžino feisbuko susirašinėjimo aplikacijos „Messenger“ spragą, kuri leidžia prisijungti prie kito žmogaus paskyros ir skaityti visą jo susirašinėjimo istoriją.
© DELFI / Karolina Pansevič

IT ekspertas, tarptautinio saugumo klasterio direktorius Marius Pareščius spėjo, kad tai - programuotojų klaida, kurios šie nepastebėjo paleisdami programėlės atnaujinimą. Pašnekovas pabrėžė, kad tai – dar vienas priminimas įdėmiau saugoti savo informaciją, kuri piktavaliams gali būti tikras lobis.

Antradienio vakarą DELFI darbuotojas Robertas išsitraukė iš kišenės telefoną, nekreipdamas dėmesio į iššokusį langą, paspaudė „ok“ ir staiga suvokė, kad atsidarė kito kolegos feisbuko susirašinėjimo dėžutę. Trečiadienio rytą, besiaiškinant problemos šaknis, jis lygiai taip pat – be jokių slaptažodžių – prisijungė prie trečio asmens feisbuko Messenger'io. Šie žmonės apie naują prisijungimą informuoti nebuvo, o Robertas iš jų dėžutės galėjo rašyti šių asmenų kontaktams.

Žalos mastas priklauso nuo piktavalio kėslų

Su situacija susipažinęs IT ekspertas, tarptautinio saugumo klasterio direktorius Marius Pareščius sakė nenustebęs dėl tokios situacijos.

„Iš virtualių įrodymų, kuriuos spėjo aptikti jūsų kolegos, panašu, kad problema – sujungtose Facebooko ir Instagramo programėlėse. Žmonės, kurie turi prieigą prie įmonės Instagramo, prie paskyros jungiasi per savo asmeninį Facebooko profilį. Įvyko taip, kad Facebookas, kuriam priklauso ir Instagramas, išleisdamas savo programėlės atnaujinimą nepastebėjo ir paliko galimybę išlaikyti tą pačią sesiją su kito vartotojo susieta paskyra. Bėda ta, kad nebuvo paprašyta papildomo autorizacijos jungiantis naujam žmogui. Manau, kad tai eilinė programuotojų klaida, kuri, kaip suprantu, jau ištaisyta“, - kalbėjo jis.

M. Pareščius prognozavo, kad tokių klaidų ateityje dar bus ne viena.

„Kalbant apie globalų tokį Facebooko-Instagramo bug'ą ir jo įtaką, manau, kad yra daug įmonių, kurios prižiūri kelias Instagramo paskyras, todėl vienas darbuotojas galėjo prisijungti prie kito asmens Instagramo arba Facebooko. Šiuo atveju yra rizika, kad didelės kompanijos, kurios už pinigus valdo socialinių tinklų profilius, turi galimybę parašyti, publikuoti tai, kam neturi teisės. Jei prisijungei su Facebooko susirašinėjimo programa „Facebook Messenger“, automatiškai prisijungi prie kito žmogaus paskyros. Skylė gana rimta – kažką publikuoji kito vartotojo teisėmis, kai kuriais atvejais gali būti labai rimtų nuostolių“, - perspėjo pašnekovas.

Jis pridūrė, kad priklausomai nuo to, kas pasinaudotų tokia spraga, priklausytų ir žalos mastas. Pavyzdžiui, piktadarys galėtų išjungti Facebooko paskyrą.

Ką daryti

Tokių situacijų nebūtų, jei sėkmingai veiktų dvigubos autorizacijos saugumo programa.

„Padėtų tai, kad tau į telefoną ateitų žinutė ir turėtum suvesti papildomą slaptažodį. Naudinga ir tai, kad tiek Messenger'is, tiek internetinė aplikacija turi galimybę peržiūrėti įrenginius, kuriuose buvo prisijungta, ir tai, kas ten buvo daryta. Tai yra patogu, tačiau jei prie tavo paskyros kažkas jungsis naktį, tu greičiausiai būsi išsijungęs garsą ir to nesužinosi iki ryto. Dar daugiau, jei veiksmus atlieka ne kitas vartotojas, o jie vykdomi automatizuotu būdu, jie atliekami per sekundės dalis ir tiesiog fiziškai nespėsite nieko padaryti, jūsų paskyra bus užblokuota ir visą dieną vargsite mėgindami ją susigrąžinti“, - scenarijų piešė M. Pareščius.

Paklaustas, kaip išvengti blogiausių padarinių, pašnekovas buvo tiesmukas – derėtų išvis nenaudoti Facebooko.

„Tai yra kardinaliausia, tačiau saugiausia priemonė. Antra, prisijungus prie Facebooko ir baigus darbą visada nuo jo atsijungti. Visada naudokitės dviguba autorizacija, kad slaptažodis jums ateitų sms žinute ir tik tada prisijungtumėte. Taip automatiškai matysite ir kitus įrenginius, kuriuose galbūt netyčia likote įsiregistravę“, - pabrėžė jis.

M. Pareščius teigė, kad turėtume dėmesingiau vertinti savo duomenis.

„Ar tai būtų virusų plėtimas, ar žmogiška klaida programinėje įrangoje, ar hakeriai, kurie patys sau pasidarė „skylę“ ir įsilaužę kažką daro. Yra tamsieji tinklai (dark net), kur nulaužtą jūsų google prisijungimą pardavinėja už 2-10 eurų. Visada turite manyti, kad kažkas piktavalis stovi už nugaros ir stebi jus viena akimi“, - patarė jis.

Šįkart negalioja ir pasiteisinimas, kad „aš paprastas žmogus, neturiu slaptos informacijos, todėl nieko nedominu“.

„Paskaičiuokite, kokio dydžio paskolą galėčiau pasiimti, turėdamas jūsų duomenis. 10, 20, 50 tūkst. eurų per keletą valandų? Nakties metu turėdamas vien jūsų mobilaus telefono duomenis, galėčiau prikrėsti eibių. Jei turėčiau bankinius duomenis, viskas tiesiog užtruktų greičiau. Jei neturėčiau, rasčiau būdą juos gauti – pakaktų banko sms žinutės, gsm paslaugų tiekėjo informacijos. Tokią informaciją trinkite, saugokite ir neleiskite niekam jos pasiekti“, - teigė saugumo ekspertas.

Dabar, pašnekovo teigimu, technologijos leidžia net skambinti jūsų telefono numeriu, nors telefonas guli saugiai jūsų kišenėje.

„Gal kol kas tai vienetiniai atvejai, bet jie tik primena, kad bet kas – valytoja, nebūtinai eilinis klerkas – privalo saugoti savo duomenis. Jūsų informacija yra lobis, uždarbis tiems, kurie jos ieško“, - reziumavo jis.

Parašykite savo nuomonę
arba diskutuokite anonimiškai čia
Skelbdami savo nuomonę, Jūs sutinkate su taisyklėmis
Rodyti diskusiją Rodyti diskusiją
 
Naujienų prenumerata

Technologijos

Turtingiausiu žmogumi paskelbtas J. Bezosas pasikeitė neatpažįstamai (20)

„Amazon“ įkūrėjas Jeffas Bezosas ketvirtadienį tapo nauju turtingiausiu pasaulio žmogumi ir perėmė šį titulą iš „Microsoft“ įkūrėjo Billo Gateso, informuoja BBC. Tiesa, neilgam: susvyravus akcijų kursams B. Gatesas susigrąžino šį titulą.

JAV atliko lankstinukų bombos bandymus: kodėl dabar? (35)

JAV ir vėl atliko lankstinukų bombų bandymus. Tai – kiek neįprastas ginklas, skirtas informacijos sklaidai. B-52 bombonešis tokias bombas ką tik mėtė Kalifornijoje, tačiau kodėl dabar? Kam apskritai reikalingos lankstinukų bombos?

Lietuvos bankas: sukčiai suaktyvėjo ir siūlo „investuoti“ sąrašas, kur žmonės prarado pinigų (7)

Pastaruoju metu padažnėjo įtartinų pasiūlymų investuoti. Brokeriais apsimetantys sukčiai siūlo investuoti internetinėse platformose, kuriose realiai jokia prekyba nevyksta, – klientai nukreipiami į suklastotas internetines svetaines, skirtas nusikalstamu būdu jų lėšoms pasisavinti.

Vilniuje atidaryta nauja „Samsung“ parduotuvė
 (3)

Vilniuje, prekybos centre „Panorama“, atidaryta „Samsung“ parduotuvė su Baltijos šalyse didžiausia interaktyvia virtualių pramogų zona.

Svarbus įspėjimas: apgaulingomis SMS viliojami jūsų banko duomenys žinučių pavyzdžiai (66)

Šiuo metu Lietuvoje plinta SMS pranešimai, kuriais piktavaliai siekia išgauti prisijungimo prie el. bankininkystės duomenis.