Facebook заблокировал приложения, ворующие данные пользователей
Майк Вернал (Mike Vernal) рассказал, что, используя уязвимость некоторых браузеров, ушлые разработчики приложений узнавали идентификационные номера (UID) некоторых пользователей, а с помощью них и другую информацию. Затем они продавали похищенные данные так называемым «брокерам данных», которые, в свою очередь, могли использовать информацию в рекламных акциях.
В итоге, в Facebook решили отстранить нерадивых разработчиков от работы на 6 месяцев, и теперь проверят их более основательно. Но, к сожалению, не сообщается, будут ли приняты меры, чтобы подобного не произошло в дальнейшем.
Вернал не уточнил, о каких приложениях идет речь, но отметил, что хоть и было поймано полтора десятка разработчиков, ни одно из их приложений не входит в десятку самых популярных на Facebook. Но, скорее всего, количество проданных UID довольно велико, и, как пишет сам Вернал, им пришлось связаться напрямую с компанией, которая выкупала данные, чтобы получить от нее подтверждение, что она ими не воспользуется. Этой компанией оказалась Rapleaf , которая уже пользуется недоброй славой в США. Майк Вернал уверяет, что им удалось договориться, и Rapleaf удалит все полученные из Facebook данные и прекратит заниматься их получением.
Личная информация становится все более ликвидным товаром, и Facebook, как обладатель самой большой в мире базы данных о людях, является лакомым кусочком для тех, кто хочет ей воспользоваться, поэтому новости, подобные этой, появятся еще не раз. Однако, на сегодняшний день не было каких-то серьезных проблем с безопасностью личных данных. Пока мы можем доверять Facebook, но вопрос в другом, как долго это продлится?
(с) «Руформатор»
Небольшое пояснение от всемогущей Вики, которая все знает :) (а чего не знает, о том явно догадывается :))) для тех кто в танке и не совсем в теме:
В Unix-подобных операционных системах, пользователи идентифицируются идентификаторами пользователя (англ. User identifier, UID).
То, что пользователя идентифицирует UID, значит, что операционная система различает пользователей именно по UID (а не например, по логину). Во многих системах существует возможность создать две записи пользователя с разными логинами, но одинаковыми UID; в результате оба логина будут иметь одинаковые права, так как с точки зрения системы они неотличимы (так как имеют одинаковый UID). Это может использоваться злоумышленниками: проникнув в систему и получив права root, взломщик может создать себе аккаунт с UID=0, чтобы потом возвращаться в систему под логином, не привлекающим внимания, но получать права root.
Множество допустимых значений UID зависит от системы; в общем случае UID допускает использование значений от 0 до 65535 с некоторыми оговорками:
- Суперпользователь всегда должен иметь UID, равный нулю (0).
- Пользователю nobody обычно присваивается или наибольший из возможных UID (в противоположность cуперпользователю), или один из системных UID (см. ниже).
- UIDы с 1 по 100 по соглашению резервируются под системные нужды; некоторые руководства рекомендуют резервировать UIDы со 101 по 499 (в Red Hat) или даже 999 (в Debian).
Значение UID ставится в соответствие пользователю в файле /etc/passwd. Файлы теневого пароля и Network Information Service также используют числовые UIDы. Идентификатор пользователя-владельца является необходимым атрибутом файла файловых систем Unix и процессов.
Некоторые операционные системы могут поддерживать 16-битные UIDы, что делает возможным создание 65536 уникальных идентификаторов, хотя современные системы с поддержкой 32-битных UIDов могут иметь 4,294,967,296 (232) различных значений идентификаторов.
если интересуют подробности и первые две ссылки где не сообразили - продолжение ))