Facebook отказал студенту в стажировке из-за использованной им дыры в безопасности Messenger
Три месяца назад студент Гарварда Аран Кханна (Aran Khanna) готовился начать стажировку в Facebook, но за пару часов до поездки получил звонок с отказом. Причиной стало «неэтичное» поведение студента: Кханна опубликовал расширение для Chrome, которое показывает место отправления сообщений в Facebook Messenger. Эти данные мессенджер отправляет по умолчанию с каждым сообщением из мобильного приложения.
Приложение «Карта мародёра» (название должно быть знакомо фанатам Гарри Поттера) — расширение для Google Chrome, которое использует данные из мессенджера Facebook для составления карты: на ней с точностью до метра отмечены места, откуда пользователи отправляли сообщения. На карте были только люди из группового чата — всех их Аран знал. Это значит, что гипотетически незнакомый человек мог увидеть, что Аран писал сообщение в мессенджере, находясь в Старбаксе.
Facebook Messenger работает с 2011 года — по умолчанию он с момента запуска отправляет данные о местоположении пользователя. В 2012 году об этом «свойстве» написал CNET, показав, как именно можно отключить функцию. Приложение получило множество обновлений, включия забавные эмодзи с котиками, но настройки геолокации компания не убирала. Кханна часто использовал мессенджер, но не знал, что делился таким количеством данных, пока не просмотрел историю сообщений.
Аран Кханна и Марк Цукерберг
26 мая Кханна разместил пост о «Карте мародёра» на Medium, после чего расширение скачали восемьдесят пять тысяч раз. Через три дня Facebook попросил разработчика отключить приложение и одновременно отключил передачу данных о местоположении на персональных компьютерах, что в любом случае блокировало работу «Карты».
Ещё через неделю Facebook выпустил обновление для Мессенджера, упомянув в релизе: «После этого обновления вы получите полный контроль над тем, когда и как вы делитесь данными о своём местоположении». В релизе компания не упомянула о том, что ранее настройки по умолчанию отправляли данные о локации, и о том, что без установки обновления пользователи продолжат отправлять эти данные.
Представитель Facebook сказал, что компания работала над обновлением для Мессенджера задолго до того, как Кханна опубликовал пост, и сказал, что процесс подготовки занял несколько месяцев.
Кханна опубликовал исследование в Гарвардском журнале Technology and Science. Он объяснил, что цель приложения — показать последствия непреднамеренного обмена данными. Так пользователи смогут сами для себя решить, действительно ли это нарушение их частной жизни.
В 2012 году CNET опубликовал видео о том, как отключить передачу местоположения в Facebook Messenger. Но только через девять дней после публикации Арана в 2015 году появилось обновление, которое спрашивало пользователя, хочет ли он отправлять эти данные.
Через дни дня после публикации «Карты мародёра» и за два часа до того, как Аран должен был отправиться на стажировку, ему позвонили из Facebook и отказали в сотрудничестве из-за нарушения пользовательского соглашения Facebook — потому что он взломал сайт для получения данных. Кханна не согласен с Facebook, потому что он использовал информацию, доступную для всех пользователей, которую взял из собственных сообщений.
В 2012 году Марк Цукерберг в письме инвесторам говорил: «Мы создали уникальную культуру и систему менеджмента, которую мы называем Путь Хакеров» и «Будьте отважными»: оказалось, у отваги и хакерства есть ограничения.
В 2013 году разработчик из Палестины Халил Шритех сообщил в Facebook о баге, который позволяет любому пользователю разместить ссылку на чужой странице. Шритех хотел получить вознаграждение за найденную уязвимость, но в компании ему отказали, сказав, что «это не баг». Разработчик решил уведомить о найденной ошибке самого Марка Цукерберга и разместил на его странице сообщение, используя эту уязвимость. Денег Халил так и не получил: Facebook «не может заплатить вам за эту уязвимость, потому что ваши действия нарушили наши условия использования сервиса».