אנחנו כל כך אוהבים את פייסבוק, וכל כך אוהבים את מאות ואלפי החברים שלנו עד שבכלל שכחנו שכדאי לנו להסתכל יותר מחצי שנייה על מי שמציע לנו חברות ברשת החברתית. רק בשבוע שעבר נחשפה מערכת האבטחה האימתנית של פייסבוק, באמצעותה היא צופה ומנטרת כ-650 אלף פעולות של כל אחד מ-800 מיליון הגולשים בפייסבוק בכל שנייה, וכבר עכשיו מתברר שבשביל לדלות כמויות מידע אישי מגולשי הרשת החברתית לא צריך להתחכם יותר מדי, אלא רק להציע חברות להמון אנשים. אנחנו, הגולשים, כבר נעשה את השאר.
קבוצת חוקרים מאוניברסיטת בריטיש קולומביה בקנדה פיתחו תוכנה מיוחדת שיצרה פרופילים של גולשים פיקטיביים, וגלשה בחופשיות בפייסבוק תוך כדי כך שהיא שולחת הצעות חברות לגולשים רנדומליים. החוקרים הכניסו לפייסבוק 102 פרופילים פיקטיביים כאלה, להם הם קוראים "רובוטים חברתיים" (SocialBots), שבמשך 8 שבועות הצליחו ליצור רשת של קשרים חברתיים, שלא קיימים כלל, בינם לבין אלפי גולשי פייסבוק אחרים. השלל? 250 גיגה-בייט של מידע אישי הכולל כתובות מייל, מספרי טלפון, כתובות מגורים ועוד, שנאספו מגולשים שאישרו חברות לרובוטים החברתיים.
ולמה בכלל לאשר בקשות חברות שכאלה? כיוון שהפרופילים הפיקטיביים נראו כמו גולשי פייסבוק ממוצעים ולא מזיקים. בשביל לתת לרובוטים החברתיים מאפיינים אנושיים, החוקרים נתנו להם תמונות פרופיל ושמות שנבחרו באופן רנדומלי מתוך פייסבוק, ובשביל לייצר פעילות בפרופיל שלהם התוכנה שפיתחו החוקרים עשתה שימוש באתר המכיל ציטוטים של אנשים מפורסמים, שפורסמו בפרופילים של הרובוטים באופן אוטומטי.
החלק המעניין במחקר, שיוצג באופן פומבי בחודש הבא בכנס אבטחת התוכנה השנתי בפלורידה, הוא האופן שבו מחליטים הגולשים בפייסבוק לאשר בקשות חברות שנשלחות אליהם, ובעיקר בגלל חברים משותפים. על פי המחקר, בסיבוב בקשות החברות הראשון של הרובוטים החברתיים אושרו 976 בקשות חברות מתוך 5,000 בקשות שנשלחו באופן רנדומלי לגולשים בפייסבוק. לאחר מכן, נשלחו בקשות חברות לרשימת החברים של הגולשים שכבר אישרו חברות לרובוטים, ובשלב הזה קיבלו הפרופילים הפיקטיביים את חברותם של למעלה מ-2,000 גולשים נוספים, וכן הלאה.
ככל הנראה, גולשי פייסבוק מרגישים נוח יותר לאשר גולש זר כחבר אם הוא מופיע כחבר של מישהו אחר מרשימת החברים שלהם. החוקרים ציינו כי הם היו יכולים להגיע למספר רב יותר של גולשים, ולדלות כמויות מידע גדולות עוד יותר, אם לא היו מגבילים בזמן את הניסוי שלהם.
מעבר לנושא האקוטי של החדירה לפרטיות וגניבת מידע אישי בפייסבוק, המחקר הזה מראה כי מערכות האבטחה של הרשת החברתית המובילה בעולם אינן עושות את עבודתם כראוי. לפייסבוק יש מערכת אבטחה מיוחדת שיודעת לזהות פרופילים של משתמשים פיקטיביים, לרוב שלו ששולחים הודעות ספאם (הודעות זבל) ובמקרים מסוימים אף מנסים להונות גולשים תמימים. על פי המחקר, רק 20% מהפרופילים הפיקטיביים שיצרו החוקרים נחסמו באופן אוטומטי על ידי מערכת האבטחה של פייסבוק.
בתגובה לכך, ולפרסום ממצאי המחקר בכלל באתר TheRegister, נמסר על ידי בכירים בפייסבוק כי שיטת המחקר של החוקרים לא אמינה כיוון שאת הפרופילים הפיקטיביים שלהם יצרו החוקרים מתוך כתובת ה-IP (כתובת אינטרנט) של האוניברסיטה שלהם, כאשר במערכת האבטחה של פייסבוק מופיעה הכתובת הזו כבעלת אמינות גבוהה.
מה שאומר שפייסבוק חושדת הרבה פחות בפרופילים פיקטיביים או תרגילי ספאם והונאה, הנעשים מכתובות IP ממקורות אותם היא מחשיבה כאמינים.
בנוסף, אמרו בפייסבוק, כי על פי הנתונים שלהם נמחקו הרבה יותר מ-20% מהפרופילים הפיקטיביים מאותו ניסוי, אך סירבו לחשוף מספרים. אותנו זה ממש לא מרגיע, אבל גם לא ממש מפתיע.
>> אופס - גוגל השיקה אפליקציית ג'ימייל לאייפון והסירה אותה בגלל באג ענק
