10:52
4/4/2019

Mamy ostatnio urodzaj na wycieki danych użytkowników Facebooka i choć najnowszy wyciek nie jest winą społecznościowego giganta to jednak każe się on zastanowić nad tym, na ile bezpieczne jest powierzanie danych Facebookowi.

Zespół firmy UpGuard wczoraj poinformował, iż odkrył kolejną niechronioną bazę danych w chmurze Amazona (S3).  Piszemy “kolejną” bo UpGuard robi takie odkrycia regularnie, a prasa pisze szerzej o tych bardziej efektownych (np. o odkryciu bazy wrażliwych danych na temat 198 mln amerykańskch wyborców w roku 2017).

Co polubiło pół miliarda ludzi?

Tym razem są to dwa ciekawe znaleziska związane z Facebookiem. Pierwszym była baza o wadze 146 GB i zawierająca informacje na temat 540 mln ludzi. Zakres danych obejmował nazwy użytkowników (a wiec najczęściej prawdziwe nazwiska), komentarze, polubienia i reakcje. Administratorem bazy jest meksykański wydawca Cultura Colectiva, który specjalizuje się w treściach adresowanych do społeczności latynoskiej i stworzonych z myślą o udostępnianiu w social mediach.

Dane zebrane w bazie Cultura Colectiva

I jeszcze trochę danych sprzed lat!

Drugim odkryciem był backup informacji pochodzących ze zintegrowanej z Facebookiem aplikacji  At the Pool. W tym przypadku wyciekły dane dotyczące 22 tysięcy ludzi, które były zebrane w takich kolumnach jak

  • fk_user_id,
  • fb_user,
  • fb_friends,
  • fb_likes,
  • fb_music,
  • fb_movies,
  • fb_books,
  • fb_photos,
  • fb_events,
  • fb_groups,
  • fb+checkins,
  • fb_interests,
  • password

Łatwo się domyślić co to oznacza choć wypada dodać, że najprawdopodobniej chodzi o hasła do aplikacji At the Pool, a nie do kont Facebooka.

Na pierwszy rzut oka ten drugi wyciek wydaje się błahy. Tylko 22 tysiące? Czymże to jest przy setkach milionów! Zwróćcie jednak uwagę,  że aplikacja “At the Pool” nie istnieje od kilku lat, a jej stronę znajdziecie co najwyżej w Archive.org. Niestety zbiory danych mogą żyć znacznie dłużej niż produkty w ramach których powstały, o czym pisaliśmy choćby w kontekście wycieku z polskiej aplikacji z paragonami.

Dane z bazy “At the Pool”

Cultura Colectiva się nie śpieszyła

Interesujący w tym przypadku jest opis reakcji na incydent. Choć At the Pool jest martwym produktem to jednak dostęp do bazy zablokowano w czasie gdy specjaliści UpGuard ustalali źródło wycieku. Nie zdążyli nawet wysłać e-maila z ostrzeżeniem. Pozostanie zapewne tajemnicą, czy zamknięcie dostępu do bazy miało jakiś związek z odkryciem wycieku.

Z kolei Cultura Colectiva, która jest ciągle żywym medium, miała poważny problem z odpowiedzią na incydent. Pierwszy mail z powiadomienie został wysłany 10 stycznia, a potem drugi 14 stycznia. Reakcji nie było, więc 1 lutego firma UpGuard zwróciła się do Amazona i ponowiła swoje zgłoszenie 21 lutego. Dopiero za drugim razem Amazon odpowiedział, że spróbuje coś z tym zrobić.

3 kwietnia baza została zabezpieczona. Być może miało to związek z tym, że o sprawie dowiedziały się media i Bloomberg skontaktował się z Facebookiem.

Czy Facebook i Amazon mogły coś zrobić?

Nie mamy wątpliwości, że najbardziej winnymi całej sytuacji są  Cultura Colectiva oraz twórcy aplikacji At the Pool. Z drugiej strony – jak zauważa firma UpGuard – wszystkie te dane nie zostałyby zebrane bez Facebooka. Chcąc nie chcąc społecznościowy gigant jest centrum ogromnego i zróżnicowanego ekosystemu przetwarzania danych osobowych. Od czasu skandalu Cambridge Analytica pojawiają się zasadne pytania o to, czy to centrum nie powinno stawiać wyższych wymagań “odbiorcom końcowym”. My jako użytkownicy Facebooka możemy przyjąć tylko jedno założenie – temu ekosystemowi nie można całkiem ufać bo nikt nie kontroluje jego bezpieczeństwa.

Zapewne znajdą się chętni do obwinienia Amazona i jego chmury. Trzeba w tym kontekście odnotować, że w listopadzie 2018 r. Amazon wprowadził nowe opcje konfigurowania dostępu do bucketów S3, które można było zastosować do baz utworzonych wcześniej i tworzonych w przyszłości. Te opcje mają działać jak jeden główny przełącznik zapobiegający przypadkowemu upublicznieniu baz danych z powodu błędów w kodowaniu lub konfiguracji.

Jeszcze wcześniej wprowadzano inne udogodnienia np. prezentowanie publicznych baz z widocznym, żółtym wskaźnikiem.

Mimo to do wycieków dochodzi nadal, a firma UpGuard uważa, że “wiaderka” Amazona są wciąż wadliwe. Jedną z krytykowanych cech AWS jest nieprzejrzystość opcji udostępniania S3 każdemu zalogowanemu użytkownikowi (może się wydawać, że chodzi o każdego zalogowanego użytkownika z danej firmy, ale chodzi dosłownie o każdego zalogowanego). Innym problemem jest niezbyt przejrzysta zależność między ACL (Access Control List) oraz politykami dotyczącymi poszczególnych bucketów S3. Polityki zapisane w składni JSON i przez to nierzucające się w oczy, mogą otworzyć na świat coś, co według ACL nie powinno być dostępne. Nie każdy to wie, a zdaniem firmy UpGuard jest to prosta droga do tych najbardziej bolesnych wycieków.

Co robić? Jak żyć?

To dość oczywiste, że jeśli Twoja firma przechowuje jakieś dane na serwerach, trzeba zadbać o ich właściwą konfigurację. Dodatkowo jednak doradzamy, aby zadbać o możliwość skontaktowania się z osobami, które odpowiadają za chmury czy serwery.

Niebezpiecznik wielokrotnie kontaktuje się z firmami w sprawie upublicznionych baz i robimy to znacznie częściej niż wynika to naszych tekstów. Nie tylko wysyłamy e-maila, ale też natychmiast dzwonimy, aby umożliwić natychmiastową reakcję. Zapewne czytają nas teraz tacy administratorzy, którzy rozmawiali z nami przez telefon, ale jeszcze nie doczekali się tekstu o swojej wpadce :).

Niestety zadziwiająco często spotykamy się z tym, że jedynymi formami kontaktu jest BOK albo infolinia, a problemy z jakimi zwracamy się do firm nieszczególnie pasują do skryptów pracowników obsługi klienta. Niektóre firmy mają świadomych pracowników BOK-ów, ale nie wszystkie. Dobrze radzimy – nie utrudniaj zgłaszania takich problemów.

Drogi bezpieczniku firmy X, Y lub Z

Jeśli chcesz, abyśmy zgłosili Ci incydent sprawnie i bezpośrednio, bez ryzyka, że koledzy z call center/BOK nie przekażą Ci informacji od nas, to masz dwie opcje:

  1. Skorzystaj ze standardu security.txt w swojej domenie.
  2. Zostaw nam namiar na siebie: po prostu z firmowego adresu e-mail wyślij nam wiadomość o temacie “kontakt” na adres incydent@niebezpiecznik.pl.

Zapiszemy sobie Twoje dane i będziemy je wykorzystywać tylko w jednym celu: jeśli kiedyś przyjdzie nam skontaktować się z Twoją firmą w sprawie jakiegoś incydentu, odezwiemy się w pierwszej kolejności właśnie do Ciebie.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

45 komentarzy

Dodaj komentarz
  1. Step 1
    Create a text file called “security.txt” under the “.well-known” directory of your project.

    MISSION FAILED :(

  2. Jedynie ogromne kary finansowe mogą pomóc w “ogarnięciu” się FB.

  3. Pociekły? Jesus co to za wyrażenie? Pociekły, już nie powiem co może pociec. Żenujące użycie języka.

    • Podobno słowo “pocięknąć” występuje w słowniku ortograficznym T. Karpowicza. Pocięknąć może wiele rzeczy.

    • Na pewno “pocięknąć” czy moze pociec?

      “Pocięknąć może wiele rzeczy.” – pociec moze wiele rzeczy ale to chyba tylko kwestia komu cieknie :D

    • @Vincent

      Tej, żenujące to jest myślenie o języku jako zamkniętym systemie, którego nie wolno rozbudowywać. Póki język jest żywy i używany do komunikacji, w tym indywidualnej ekspresji, muszą pojawiać się w nim nowe słowa oraz nowe zastosowania starych słów.

    • @up – żenujące to jest robienie z języka śmietnika tylko dlatego, że ktoś jest niechlujem.

      Ale nie w związku z artykułem i użyciem słowa “pociec”, tylko ogólnie nasunęła mi się taka refleksja. Coraz częściej widzę tego typu usprawiedliwienia, że niby język jest żywy jako wytłumaczenie wszystkiego co ludzie z nim robią. A po prawdzie chodzi o zwyczajne zamiłowanie do bałaganiarstwa, flejtuchowatości, bylejakości, bo są wygodne (nie wymagają obsługi i samodyscypliny oraz elementarnej wiedzy). Wszyscy robimy błędy, ale sztuka polega na ich unikaniu i dokształcaniu się. Nie róbmy ze swojego języka ojczystego kloaki. Zresztą jak widzę te niektóre nowe elementy, o które rzekomo warto rozbudować język to ręce mi opadają :).

    • @Marcin Maj
      Skoro takiego słowa użyłeś w tytule (“Pociekły”), to zamiast tagu “wycieki”, powinieneś dodać “pocieki” ;)

      @michu
      Przyłączam się do Twojej wypowiedzi.

    • @dzidek83

      Słownik PWN dopuszcza zarówno formę “pociec” jak “pocieknąć”, jako przykładów używając 1) łez, które pociekły i 2) mięsa, które pociekło.

      @michu

      Mnie osobiście bardziej drażni konserwatyzm językowy. Ale rozumiem, że w każdej dziedzinie działalności ludzkiej niektórzy muszą stanowić ariergardę, by inni mogli tworzyć nowe szlaki. Nie lubię jednak, gdy próbuje się zamykać komuś usta pod pozorem jego niewystarczających kompetencji do mówienia.

    • OMG, ale sę zebrało narzekaczy. NIe pasuje to nie czytajcie. Niebezpiecznik to portal IT, a nie polonistyczny.

      Za 30 lat i tak nikt już gadać po Polsku nie będzie bo wspólnym językiem będzie angielski. Zrobią z UE jedno super państwo pod przewodnictwem niemiec to co wy się tak pocicie?

    • > Za 30 lat i tak nikt już gadać po Polsku nie będzie
      > bo wspólnym językiem będzie angielski.

      Wątpię. Ale skoro już mowa o poprawności językowej, to nazwy języków piszemy małą literą. Mówimy i piszemy “po polsku”, “po angielsku”, “po niemiecku”.

    • Wiesz, po czym się ocenia znajomość języka? Po prawidłowym słowotwórstwie. Nazywa się to licentia poetica i służy oddawaniu niuansów znaczeniowych. Niechlujstwem byłoby “wycięknęły”.

    • tes 2019.04.05 08:14
      Wspólna waluta, wspólne prawo, wspólne wojsko. Chyba wystarczający dowodów do czego zmierza UE.
      gotar 2019.04.05 16:55
      Język służy do przekazania informacji, a nie tworzeniu nikomu niepotrzebnych frazerów, poematów. Czytelnik oczekuje prostej zwięzłej wartościowej technicznej informacji. Czy ktoś napiszę, ktury, zamiast który itd. to nic to nie zmienia.

    • Niebezpiecznik tworzy super artykuły. Nie trzepiajmy się jakiś głupot bo to tylko zniechęca.

    • @stukot – “Mnie osobiście bardziej drażni konserwatyzm językowy.”
      Mnie nie drażni. Szanuję ludzi, którzy dbają o takie rzeczy, bo mam poczucie, że i oni zwracają się do mnie jako czytelnika z szacunkiem.

    • @studencik

      “Język służy do przekazania informacji, a nie tworzeniu nikomu niepotrzebnych frazerów, poematów.”

      …powiedział człowiek, który sam podpisuje się zdrobnieniem, czyli głupawym ozdobnikiem. Ty jesteś z tych, co to płacą “pieniążkami” za zamówioną “herbatkę”?

    • Gotar 2019.04.07 13:39
      Dyskusja polega na argumentowaniu, a nie hejtowaniu.
      Pozwól więc uzasadnić co zmienia w tekście naukowym typowy błąd ortograficzny?
      Ktury zamiast który, krulik zamiast królik.

  4. “Jedną z krytykowanych cech chmury Amazona jest to, że każda osoba z kontem w usłudze może zaglądać do baz innej osoby.”

    To chyba zbyt daleko idące uproszczenie.

    • Zerknij do dokumentów od Snowdena – trochę przestarzałe ale ciekawe ;)

  5. Tak z innej beczki: dziś gdy zalogowałem się na FB okazało się, że jestem administratorem dwóch stron: ‘Adsaf’ i ‘Aassadecf’. Co ciekawe jako zdjęcia w tle były ustawione zdjęcia jakiś ludzi, a ja byłem jedynym administratorem. Usunąłem strony, zmieniłem hasło, ale nie ma śladu logowania się na konto przez kogoś innego, żadna aplikacja nie ma dostępu do mojego konta. Ktoś z Was spotkał się z czymś takim?

    • Możliwe, że ktoś chciał na podstawie Twojego maila dotrzeć, do konta na Facebooku. O ile nic się nie zmieniło to można dodawać administratorów po adresach mailowych i w ten sposób sprawdzić jakie konto jest powiązane z tym adresem.

  6. Do zgłaszania incydentów możecie użyć kontaktu technicznego z bazy WHOIS dla domeny lub adresu IP, którego dotyczy sprawa.

  7. Dane mogą być poufne a wrażliwa Wasza dziewczyna. Opiniotwórcze medium powinno to wiedzieć.

  8. ‘Zakres danych obejmował nazwy użytkowników (a wiec najczęściej prawdziwe nazwiska), komentarze, polubienia i reakcje. ‘

    Nie są to czasem ‘dane’ które można pozyskać odpowiednią dozą zautomatyzowanego uporu?

  9. No cóż, branża IT zawsze miala jakieś zboczenie w stronę konserwatyzmu, zarówno w rozwijaniu się języka polskiego jak i w sferze obyczajowej

    • To nie tak. Po prostu człowiekowi więdną już czasem oczy jak po raz setny czyta np. “kolegą” w miejscu, w którym powinno być “kolegom”. Niektóre dość czasem nawet ambitne teksty poważnych niby ludzi potrafią mieć w sobie tyle tego “nowego języka”, że aż się odechciewa czytać. Nie bez znaczenia są też kwestie podniesione przez “Po Prostu Janusz 2019.04.12 11:38” tutaj: https://niebezpiecznik.pl/post/dane-540-mln-uzytkownikow-facebooka-byly-dostepne-publicznie-znow-w-chmurze-amazona/?replytocom=705657#comment-706477

      A powoływanie się na SJP i inne tego typu dziwaczne rady jest dziś o tyle zabawne, że te rady właśnie najchętniej wszystkie te słowotwórcze wybryki dopisałyby do standardu, tylko dlatego, że danej rzeczy używa coraz więcej osób.

  10. UFF, całe szczęście, że dzisiaj piątek :P

    Polecam wszystkim piwko lub inny napój “orzeźwiający” z odpowiednim dla każdego, wg jego wymagań, poziomem procentów.

    :)
    miłego dnia

  11. “Zostaw nam namiar na siebie: po prostu z firmowego adresu e-mail wyślij nam wiadomość o temacie “kontakt”

    A co jeżeli ktoś w firmie nie jest odpowiedzialny za security, a wyśle do Was maila i okaże się “kretem”?

  12. Artykuł z lutego 2018 r., a w tzw. międzyczasie – ustawa o ochronie danych osobowych z dn. 10 maja 2018 r. i wejście 25 maja 2018 r. RODO (szczególne kategorie danych osobowych). Tak więc termin “dane wrażliwe” w przepisach dot. ochrony danych osobowych nie funkcjonuje już od 25 maja 2018 r.

  13. Mam pytanie do redakcji: tyle już było wycieków, że mam wrażenie, że moje dane, tak samo jak dane wielu milionów ludzi i tak są “publiczne”. Źli ludzie i tak już je mają, albo łatwo mogą wejść w ich posiadanie. Jaki jest sens nadal informować o takich wyciekach? Czy nie lepiej założyć, że te dane są tak czy siak publiczne i skupić się na procedurach i mechanizmach które ten fakt uwzględniają (np. instytucja finansowa z założenia ponosi odpowiedzialność za udzielenie kredytu oszustowi)? Czy jest sens nadal walczyć z “wiatrakami wycieków danych” i karać firmy? Bo mam wrażenie, że to jakoś nie bardzo działa…

    • Karać jest sens, bo inaczej nikt by już niczego nie pilnował. Tylko moim zdaniem dla poważnej firmy, której dane zostały wykradzione/wyciekły przez jakieś zaniedbadania, a nie specjalnie wystarczającą karą powinno być publiczne napiętnowanie. Kary finansowe powinny być porządne za handel danymi bez zgody, wykradanie danych itp. A co do drugiej części w pełni się zgadzam – dane które powszechnie wyciekają nie powinny być wystarczające do zaciągania jakichkolwiek zobowiązań.

  14. A ja mam pytanko do Niebezpieczników: jak czytać FB nie używając FB :-)

    Chodzi o to, że niektórzy robią ciekawe rzeczy i to publikują, fajnie byłoby poczytać czy zobaczyć, ale świata poza FB nie widzą, więc tylko tam można znaleźć ich materiały. Przeglądarka w trybie anonimowym w sandboxie na wirtualce po torze przez vpna? Kicha, FB molestuje, żeby się zalogować, inaczej nie pokaże.

    Czy jest jakiś sprytniejszy sposób oglądania aktywności niereformowalnych fejsbukowców niż założenie konta na fałszywe dane – i jak się nie podłożyć z metadanymi? Emacsem przez sendmaila po torze, po torze, po torze, przez bridge, przez firewall, przez vpn, przez pola, przez las…

    • > Czy jest jakiś sprytniejszy sposób oglądania
      > aktywności niereformowalnych fejsbukowców
      > niż założenie konta na fałszywe dane – i jak
      > się nie podłożyć z metadanymi?

      Podłączam się do pytania. Też chciałbym poczytać FB bez oddawania im swojego prywatnego życia.

  15. @studencik
    Ależ właśnie na portalu IT jest to bardzo istotne. Kto, jak kto, ale IT powinien wiedzieć, czym kończy się nieprecyzyjne i niejednoznaczne kodowanie treści. A poprawność językowa temu służy, czym innym jest “chłodziwo”, czym innym “chłodnik” chociaż obydwa “kody” powstały twórczo, inteligentnie i zgodnie z zasadami słowotwórstwa.

  16. Moje konto znajdowało się najprawdopodobniej w tej chmurze. Podczas przeglądania FB wyskoczyła mi informacja, że strona na którą chciałem wejść jest stroną ataku phising. Zostałem przekierowany i zmuszony do zmiany hasła. Szkoda, że nie zrobiłem zrzutek ekranu.

  17. Ciągle czytam jak to język jest “żywy” i ” służy do komunikacji”. Czyli, że jak pracujecie w 20 nad jednym kodem to czujecie ulgę na widok tego, że każdy formatuje kod inaczej, nadaje zmiennym nazwy jak mu się podoba itd? Albo gdy, któryś z członków zespołu namiętnie wyłamuje się z raz ustalonego standardu i wszystkie zmienne ma globalne “bo mu tak lepiej i nie musi się bawić w jakieś referencje” to mu klaszczecie o 15 w windzie jak opuszczacie biurowiec (albo wysyłacie mu gołębia Andrzeja z pochwałą jeśli pracujecie zdalnie z domu)? Czujecie orgazmiczną rozkosz gdy otrzymujecie wiadomości pisane TYM JakszE sŁoDddkiM POTwoorkiwM z czasów Gadu Gadu albo gdy dostajecie korpo info asap żebyście kolneli na koma? Albo swędzi was oko gdy interpunkcja się zgadza? Kręci was plątanina kabli i brak kodowania kolorem (albo wręcz celowe jego łamanie)?

  18. Może jednak nie warto mieć konta na Facebook-u?

  19. UWAGA!!! Administratorzy Facebooka to ludzie z PO.

  20. […] I teraz najgorsze. Działaniu aplikacji przyjrzał się Till Kottmann, który za pomocą inżynierii wstecznej sprawdzał działanie produktu. Jego zdaniem aplikacja eksfiltrowała dane ofiar (bo tak powinniśmy nazwać osoby śledzone), do bucketu w chmurze firmy Alibaba. Nazwa bucketu sugeruje, że dane tam zebrane pochodziły wyłącznie z urządzeń z Androidem (aplikacja jest oferowana także dla iOS). Co jeszcze gorsze, w wyniku błędu konfiguracyjnego bucket mógł być udostępniony publicznie, jak to czasem w podobnych usługach chmurowych się zdarza. […]

  21. […] baz dotyczących milionów kont z Facebooka nie są czymś niespotykanym. Zdarzały się również duże wycieki zawierające numery […]

  22. […] upubliczniona. Tak nastąpił np. wyciek z Fortum, wyciek z MoneyMan albo potężny wycieki danych użytkowników Facebooka. Tak bywa, […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: