Пятничное чтение: об ошибках Facebook в обеспечении информационной безопасности

Пятничное чтение: об ошибках Facebook в обеспечении информационной безопасности
Разработчики Facebook допустили много ошибок в работе над конфиденциальностью данных пользователя. Мы перевели небольшой фрагмент обсуждений на американском сервисе вопросов и ответов Quora, чтобы рассказать о самых серьезных прегрешениях крупнейшей  социальной сети.
Пользователям не сообщили должным образом об изменениях в политике конфиденциальности
Когда разработчики Facebook предложили обновленную политику конфиденциальности, они предполагали, что пользователи будут голосовать и комментировать все нововведения, на самом же деле они с трудом смогли понять, о каких изменениях шла речь. Чтобы понять, что именно поменялось, пользователи должны были зайти в сообщения, а затем посмотреть обновления. Не было никаких предупреждений ни в виде всплывающих окон при загрузке сайта, ни  виде записей в новостной ленте. Это очень не похоже на Facebook, любое обновление которого сопровождается основательными описаниями при входе в аккаунт.

Сложные настройки конфиденциальности профиля
В 2006 году, Цукерберг заявил: "Мы разработали расширенные настройки конфиденциальности, чтобы вы могли тщательней контролировать, с кем вы делитесь информацией». На самом же деле эти настройки наоборот затрудняют осуществление пользовательского контроля. Обратите внимание на настройки конфиденциальности профиля в январе 2010 года:
Разобраться с ними не так легко и просто как загрузить фотографию, не так ли? Тогда, если пользователь хотел скрыть фото от друзей, он должен был внести изменения в разделах «Фото и видео со мной», «Альбомы» и «Мои публикации». Если он выбирал подходящие настройки конфиденциальности, то мог делиться информацией только с определенными друзьями или группами друзей. То есть надо было еще и создавать и сохранять списки или группы друзей, которые могли бы видеть определенную информацию этого пользователя. Дополнительные кнопки, переключатели и раскрывающиеся меню только усложнили работу, и люди почувствовали, что вся эта система для них слишком сложна. Таким образом, они стали оставлять настройки приватности по умолчанию, которые были выгодны Facebook, а не его пользователям.
Проблемы конфиденциальности при работе с приложениями
В определенный момент сеть Facebook открыла для приложения Zynga доступ к некоторой личной информации друзей пользователей, которые играли в эту игру, что явилось однозначным нарушением конфиденциальности, так как  «пострадавшие» пользователи не давали доступ Zynga к персональным данным на своем аккаунте. В результате они страдали от многочисленных спам-рассылок от Zynga, которыми так «славилась» эта игра первое время.
Рассылка Beacon
В 2007 году разработчики Facebook запустили Beacon – систему рекламной рассылки, которая отправляет данные с внешних интернет-страниц на аккаунт в  Facebook. К примеру, когда пользователь совершает покупку в интернет-магазине, он вдруг видит всплывающее окно (как показано ниже) с сообщением, что этот магазин отправляет информацию о вашей покупке в Facebook:
У покупателя будет 10 секунд, прежде чем окно исчезнет. И затем информация о покупке появится на его стене в соц. сети. Facebook внедрил эту программу как рассылку без запроса получателя. В 2008 году на разработчиков сети и компании, участвовавшие в программе, подали коллективный иск за обнародование личной информации пользователей без их разрешения.
Всем хороших выходных!
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.