2. Hírek
  3. Közösségi média
  4. Biztonság

Napi Facebook-bukta: céges oldalak egyszerű kompromittálása

A Facebook egyik mind népszerűbb szolgáltatása a Facebook Pages, melyet cégek, márkák számára hoztak létre, mivel az alapelvekben benne van, hogy egy Facebook-oldalt csakis egy magánszemély hozhat létre, ám a vállalkozások megnyerése üzleti érdeke volt a közösségi oldal üzemeltetőinek. Az egyszerű fiókénál több lehetőséget biztosító megoldással kapcsolatban azonban a közelmúltban elég sok panasz merült fel, sok oldalgazda jelezte, hogy „feltörték” a fiókot, és kompromittáló tartalmakat helyeztek el rajta, melyet azonban ő nem tudott korrigálni, mert nem fért hozzá adminisztrátorként. Ennek a problémának jártak utána a Sophos biztonsági cég fejlesztői, akik viszonylag gyorsan rátaláltak egy anomáliára a Pagesben.

A probléma nagyon egyszerű, épp emiatt utal a jogosultságkezelést illető végzetes hanyagságra. A Pagesben létrehozott márkaoldalak egyik előnye, hogy céges környezetre tervezték, ezért az oldal létrehozója több, teljes szerkesztési joggal rendelkező adminisztrátort is megjelölhet. Ezzel kapcsolatban a szolgáltatás felhasználási feltételeiben megjegyzik, hogy az utólag hozzáadott adminok jogosultsága az oldal létrehozójának státuszára nem terjed ki, vagyis ők nem törölhetik az eredeti gazdát:

Facebook Pages

Ezzel szemben a Sophos szakemberei azt tapasztalták, ahogy az alábbi videón szépen látható, hogy egy ilyen, utólag engedélyezett adminisztrátor megszüntetheti az oldalgazda (illetve bárki más) adminjogát, és ezek után ő dönt arról, hogy mi legyen az adott márkaoldalon.

Ennek hátulütője azonnal belátható: egyrészt azért, mert a Pages oldalaira a cégek gyakran vesznek fel rajongókat adminisztrátorként, hogy azok segítsék a karbantartást – vagyis ezek mindegyike visszaélhet a fenti lehetőséggel. De cégen belül maradva: akár egy dühös kirúgott alkalmazott, akár egy még benn lévő rosszakaró megteheti azt, hogy kompromittáló tartalmakat helyez el az oldalon úgy, hogy az oldalgazda nem tudja ezeket megváltoztatni. Az természetesen igaz, hogy egyrészt ez céges felelősség, másrészt pedig a működési mechanizmusból következően könnyű megtalálni és felelősségre vonni a szándékosan kárt okozót, ám a kártétel attól még kártétel marad, ami egy, épp a kevés pénze miatt a Facebookot marketingeszközként választó kisebb, induló céget egy rosszindulatú kampány végzetesen is érinthet.

A Sophos által bemutatott módszert mi is kipróbáltuk: létrehoztam egy kamu céges oldalt, majd prohardveres kollégámat, rudit megkértem, hogy ellenőrizze le. Amint az alábbi képen látható, ő mint bevont admin el tud távolítani engem mint oldalgazdát:

admin remove

Azóta történt

Előzmények

  • Egy német IT-lap szívatja a Facebookot

    De nem csak őket: egy váratlan húzással nagyon alátettek a Google-nak és a Twitternek is. A megoldás sokak érdeklődését felkeltette.

    Közösségi média 56

  • Saját zenei platformmal jelentkezik a Facebook?

    Sok a pletyka, kevés az információ, de az kizárt, hogy a közösségi oldal saját zenei szolgáltatást indítson: inkább közvetíteni akarnak.

    Közösségi média 3

  • Megújul a Facebook

    A változtatások a cég szándéka szerint kielégíthetnek mindenkit, akik eddig a vélt adatvédelmi problémák miatt kritizálták a közösségi oldalt.

    Közösségi média 137

  • Kamu hír volt a Facebook elleni támadás

    Tanulságos történet, mely rámutat az Anonymous mozgalmának erejére, de felvillantja a sajátos szerveződés jelentős hátrányait is.

    Közösségi média 48