Volt már arra példa, hogy a Facebook, akár akaratlanul is, kárt okozott. A héten viszont olyat lépett, amiből rövid távon nincs jelentős haszna, hosszú távon viszont rendkívüli ostobaság. Ahhoz viszont, hogy erről beszéljünk, előbb a biztonságról kell beszélni.
Kezdetben, amikor az internet egy többé-kevésbé barátságos hely volt, ahol számítástudósok, rádiócsillagászok és fizikusok beszélgettek Tolkien könyveiről, elég volt egy közepesen vacak jelszó is. Betörések persze voltak. Cliff Stoll, aki a legérdekesebb TED-előadást tartotta mindenről és a hangsebesség megméréséről mérőszalaggal, 1986-ban elkapott pár KGB-s hackert egy amerikai laboratórium számítógépes rendszerében.
A processzorok gyorsulásával és az internet benépesülésével ez az ideális állapot gyorsan elmúlt. Ráadásul változott még valami: összefonódtak és fontossá váltak bizonyos internetes szolgáltatások. Aki bejut a gmail-ünkbe, az tud új jelszót kérni a Facebookhoz, más regisztrált oldalakhoz, megszemélyesíthet minket a barátaink felé, miközben személyes információk között turkál. A hosszú sztori rövidre vágva: mára iszonyatosan fontos, hogy megfelelően védjük a netes fiókjainkat. Lehetőleg jobban, mint egy felhasználónév és egy jelszó.
A biztonságot komolyan vevő szolgáltatások szinte kivétel nélkül – illetve a nevezetes kivétel a PayPal – kínálnak kétfaktoros azonosítást. Ez annyit jelent, hogy a jelszó mellett szükség van még egy azonosító adatra, ami lehetőleg egy másik eszközhöz kötődik. A mobilunkra kapunk SMS-ben egy kódot, egy kódgenerátor app dob egy másfél percenként változó számsort, ujjlenyomatot olvastatunk be. A támadótól függően nem mindegyik módszer egyformán jó. Egy rendesen felkészült titkosszolgálatot holmi SMS nem fog megállítani, akinek viszont a fenyegetési modelljében titkosszolgálatok is szerepelnek, azok jellemzően tisztában vannak ezzel. Az átlagos netes bűnöző ellen viszont csodálatos mindegyik kétfaktoros technológia.
Mit is engedtünk meg?
Ezzel viszont elértünk a Facebook bűnéhez. Az oldal egy ideje támogatja a kétfaktoros hitelesítést, még ha nem is teszi egyszerűvé a bekapcsolását. Például kötelező hozzá megadni a telefonszámunkat, akkor is, ha amúgy a más szolgáltatáshoz használt Google-hitelesítő appot akarnánk használni. Aki azonban kitartó, és végigkattintgatja az összes linket a Beállítások/Biztonság aloldalon, bekapcsolhatja a funkciót.
A problémát az okozza, hogy a Facebook gondolt egyet, és felhasználta az azonosításra megadott telefonszámokat. Emlékeztető, figyelmeztető SMS-t küldött ki felhasználóknak. Olyan amúgy nem érdekes, pimpf hülyeségekről, mint hogy egy barátjuk megosztott egy linket és ugyan nézzék már meg. Önmagában ez a lépés is aggályos. Az emberek általában okkal nem kérnek figyelmeztetéseket a telefonjukra. Gabriel Lewis, a hibát észre vevő fejlesztő ráadásul utánanézett, és nem is engedélyezte a mobilos figyelmeztetéseket. A közösségi oldalnak azonban sikerült rontani még egy kicsit az eddig is spamelésnek tűnő gyakorlaton: a figyelmeztető SMS-re küldött válaszokat automatikusan státuszfrissítésnek vette, és kirakta a felhasználó oldalára.
A Facebook a legjobb esetben sem nyer többet a húzással, mint hogy az átvert emberek egy kicsit megpörgetik az aktivitási számokat. Ha azonban visszaüt, akkor a kétfaktoros azonosításba vetett bizalmat rombolja.
Másvalaki Problémája – kövesse a Magyar Narancs technológiai-társadalmi kérdésekkel foglalkozó blogját!
Másvalaki Problémája – Magyar Narancs
Nem látod, pedig ott van, és téged is érint. A Magyar Narancs új, technológiai-társadalmi kérdésekkel foglalkozó blogja.
