Firm: Facebook “bug” värre än vad som rapporterats, icke-användare påverkas också

Säkerhets forskare som hittade Facebooks, skuggprofiler, sårbarhet har jämfört deras antal till vad Facebook berättade sina användare i e-post, och siffrorna stämmer inte överens.

De säger Facebook berättade användarna exponeringsdata är mycket mindre än vad de fann forskarna, och forskarna säger också Facebook är hamstring icke-användare kontaktinformation – sett när det delades också och exponeras i läckan.

Fredag ​​Facebook meddelade korrigering av ett fel sägs oavsiktligt avslöjade privat information, över sex miljoner användare, när Facebooks, tidigare okända skugga profiler, av misstag samman med användarkonton i uppgifter historia rekord förfrågningar.

Sedan åtminstone 2012, Facebook-användare som använde Download Your Information (DYI) verktyg för att få sin information sparad fick också en adressbok med kontakter användare hade aldrig ges till Facebook.

Facebook förklarade problemet till webbplatsen söndagen efter, användar ilska exploderade, – säger att när en Facebook-användare laddar upp en adressbok, får det sociala nätverket alla kontakter i användarens databas och sparar dem.

Användarna är fortfarande rasande och var omedvetna om att deras icke-delning, offsite telefonnummer och e-postadresser samlas in, lagras, i hemlighet anpassade till dem (och nu oavsiktligt delad) av Facebook.

I sin fredag ​​e-post, avslöjas Facebook säkerhet och integritet fel för användarna, men ingen visste att Facebooks e-post inte berättade hela historien – utom säkerhetsforskaren Michael Fury (som ursprungligen hittade sårbarhet) och kollegor vid Packet Storm Security (och någon tyst utnyttja dataintrång).

Eftersom Packet Storm hade tidigare testdata verifierar läckan, kunde de jämföra vad de visste var faktiskt avslöjas i DYI rapporterar mot vad Facebook rapporterade till sina användare via e-post – samt vad Facebook berättade för pressen.

Säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål, säkerhet, Vita huset utser först Federal Chief Information Security Officer, säkerhet, Pentagon kritiseras för cyber -emergency svar av regeringen vakthund

Paket Storm skrev i Facebook: Math av Aftermath

Vi jämförde uppgifter Facebook e-postmeddelanden till våra testfall data. I ett fall har de en [ett] ytterligare e-postadress avslöjas, men 4 bitar av data faktiskt avslöjas.

För en annan individ, de bara berättade för honom om 3 av 7 stycken data avslöjas.

Det verkar inte som om de kommer att ta några extra steg vid denna tidpunkt för att förklara den verkliga omfattningen av exponeringen och vi misstänker att antalet är mycket högre.

Påståendet att “Ingen annan information om dig visades” verkar vara en avledningsmanöver. Vi frågade Facebook vad detta innebär för icke-Facebook-användare som hade sin information avslöjas också.

Svaret var enkelt – de inte kontaktat och informationen var inte rapporterats. Som en miljard användare ladda upp sina kontakter, sina medarbetare på och stänga av Facebook kommer alla bli lagras och korreleras.

Vid denna punkt, kan Facebook har e-postadresser och telefonnummer på alla, Facebook-användare eller inte.

När nås för en kommentar om Packet Storm Securitys “Math av Aftermath” post, Facebook avböjt att kommentera säga att alla hade att säga i frågan var i sin fredag ​​blogginlägg – en upprepning av de uppgifter Packet Storm motsäger.

Det sociala nätverket sade att det får och matchar offsite källkod data till användarprofiler – skuggprofiler – “för att bättre skapa vänförslag” för användaren.

Detta verkar vara första gången Facebook har offentligt erkänt att användarnas skuggprofiler innehåller mer än infödda uppgifter (såsom stolpar eller information som du raderade men behålls av Facebook) och innehåller även data som Facebook är skördar från andra användare.

Efter förra veckans erfarenhet, anser Packet Storm att Facebook är att sammanställa “skrämmande” skuggprofil “ärenden om alla möjliga” – inklusive människor utan Facebook-konton.

Besväras av sina svårigheter försöker prata med Facebook om sina användares privata uppgifter, användarens medgivande och högrisk datalagring metoder, skrev Packet Storm i sin fredag ​​post, Facebook: var dina vänner är dina värsta fiender

När du öppnar nedladdade arkiv, det finns en fil inne kallas addressbook.html. Den här filen är tänkt att inrymma kontaktinformation du laddat.

Men på grund av ett fel i hur Facebook genomfört detta, även inrymt kontaktinformation från andra uppladdningar andra användare har utfört för samma person, under förutsättning att du hade en bit av matchande data effektivt bygga stora ärenden på människor.

I våra tester, fann vi att ladda upp en offentlig e-postadress för en individ kan dra ett dussin ytterligare bitar av kontaktinformation. Det bör också noteras att insamlingen av denna information gäller för alla data laddas upp, oavsett om eller inte dina kontakter är Facebook-användare.

(…) Vår första fråga att i namn av vanlig anständighet och integritet, skulle Facebook någonsin åta sig att automatiskt kasta uppgifter av individer som inte har en känd Facebook-konto?

Deras svar var i huvudsak att de tänker på [alla] kontakter importeras av en [enda] användare som användarens data och de [Facebook] får göra med det vad de vill.

Oroväckande, Facebook avböjt att svara på många av Packet Storm s viktiga frågor, och vid ett tillfälle Facebook berättade faktiskt Packet Storm att Facebook stod på First Amendment rättigheter med denna datainsamling politik.

Policyn är att i detta område, är inte din data, det hör till dina vänner, och genom dess bestämmelser dina vänner – eller enbart människor du känner – har mer kontroll över dina data än vad du gör.

Facebooks DYI historia funktionen rullas ut oktober 2010 till mer än 500 miljoner Facebook-användare över loppet av ett antal månader. Advokater skrev om hur du använder DYI som en upptäckt verktyg för rättsfall, för både kunder och motståndare.

En månad efter Facebooks DYI historia hämta verktyg rullades ut till 500 miljoner användare, november 2011, den amerikanska Federal Trade Commission (FTC) fast sitt klagomål med Facebook om ändringar platsen gjorts under 2009 när det gäller användarnas personliga integritet att den federala regeringen som kallas ” orättvist och vilseledande. ”

Enligt avtalet 2011, Facebook: “får inte förvränga på något sätt, uttryckligen eller underförstått, i vilken utsträckning den bibehåller integriteten eller säkerheten för täckta information.”

Dessutom har Facebook beordrade “att meddela användare och inhämta deras samtycke innan du delar någon information” som “väsentligt överstiger de begränsningar som en användares sekretessinställning.”

Detta innebar att Facebook skulle behöva användare att samtycka innan den delar sina data på ett sätt som skiljer sig från hur användare som ursprungligen avtalats.

Tyvärr gjorde det inte säga något om data eller information Facebook erhåller från en användares vänner, bevaras och skuggprofil under parollen “gör bättre vän rekommendationer.”

I december 2011, Max Schrems i Wien, Österrike, gick ett steg längre än att ladda ner sin egen information och skickade en formell begäran till Facebook citerar europeisk lag och bad om hans uppgifter. Han fick en CD med 1.222 filer.

Den oroande detalj i hans Facebook dokumentation ingår poster han raderade: gillar, unlikes, och en uppsjö av information om hans vänners aktiviteter och även deras uppehållsort vid varje given tidpunkt.

Från och med juni 2013 finns det 1,11 miljarder Facebook-användare, med 665 miljoner aktiva dagligen. Dess 2012 intäkter var $ 5,09 miljarder dollar. Antalet personer som utnyttjade Download Information verktyg i 2012 är okänd, när nås för en kommentar på användningsfrekvens, Facebook berättade webbplatsen de DYI nummer inte gjorts tillgängliga för allmänheten.

Vi kommer sannolikt aldrig att få veta hur många människor som erhållits Facebook skugga profildata på andra.

I sin senaste inlägg, varnade Packet Storm att utöver de flagranta kränkningar av privatlivet i Facebooks anspråk på äganderätt till uppgifter om användarna inte erhållits med deras samtycke, eller den dokumentation som byggs på människor som inte är på Facebook

Vi får aldrig veta den verkliga siffrorna kring utlämnande men ansvaret för bostäder mer data förefaller uppenbart.

Regeringar åt sidan, visar historien att Facebook har framgångsrikt måltavla för kinesiska hackare och kända illvilliga hackare.

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål

Vita huset utser först Federal Chief Information Security Officer

Pentagon kritiserats för cyber nödsituationer av regeringen vakthund