Computerworld News Service: Facebooks mekanisme til sporing af falske profiler kan omgås 80 procent af gangene med hjælp fra automatiserede værktøjer, konkluderer researchere fra University of British Columbia (UBC) efter en otte uger lang test.
Research-holdet, der bestod af Yazan Boshmaf, Ildar Muslukhov, Konstantin Beznosov og Matei Ripeanu, skabte et netværk af 102 robotter, som var designet til at opføre sig som mennesker på sociale netværk. Derefter blev robotterne sluppet løs på Facebook med det formål at få så mange venner som muligt og indsamle private informationer.
"At skabe en brugerkonto på et OSN (online social network, red.) kræver tre ting: En aktiv e-mail-adresse, at skabe en brugerprofil og nogle gange skal man løse en CAPTCHA (Completely Automated Public Turing-test to tell Computers and Humans Apart: De forvredne billeder af ord eller sammensatte bogstaver og tal, som brugeren skal skrive af for at kunne logge på, red.).
Vi konkluderer, at det er muligt fuldt ud at automatisere konto-oprettelsesprocessen," skriver researcherne i rapporten, der vil blive præsenteret i forbindelse med Annual Computer Security Applications Conference i begyndelsen af december, som i år bliver holdt for 27. gang.
Dette er ikke en ny form for angreb: malware-trusler som Koobface har allerede længe anvendt automatiseret kontooprettelse for at kunne spamme ondsindede links. Det har fået Facebook til at udvikle adskillige, specialiserede sporingsmekanismer igennem tiden.
Desværre er forsvarssystemerne ikke stærke nok, fortæller researcherne fra UBC. De sociale robotter, som blev sluppet løs på Facebook, udvalgte 5.053 tilfældige mennesker, som de sendte venneanmodninger til.
Gennemsnitligt sagde brugerne ja tak til invitationen 20 procent af gangene, og de robotter, der havde et kvindeligt alias, var generelt mere succesfulde. Men antallet blev tredoblet, da robotterne begyndte at gå efter vennerne til dem, der allerede havde accepteret en anmodning.
Efter at være blevet venner med brugerne gennemgik robotterne deres profil, news feed og vægopslag for personlige informationer.
De indsamlede data indeholdt informationer om for eksempel køn, fødselsdato, arbejdsgiver, skoler, hjemby, nuværende by, mailadresse, telefonnummer, IM-konti og ægteskabelig status.
Researcherne stoppede testen, da den genererede internettrafik blev for tung. Det sociale bot-netværk sendte 3GB data og modtog omkring 250GB i løbet af de otte uger.
I løbet af den tid blokerede Facebooks realtime-forsvarssystem kun 20 ud af de 100 falske profiler. Men ved nærmere eftersyn viste sig, at de profiler faktisk var blevet anmeldt som spam af andre brugere.
"Vores resultater viser at
1. sociale netværk som Facebook kan infiltreres med en succesrate på op mod 80 procent,
2. afhængigt af brugernes privatlivsindstillinger kan en infiltration resultere i privacy-brud, hvor endnu flere bruger-data bliver afsløret sammenlignet med ren, offentlig adgang og
3. i praksis er forsvarssystemerne på sociale netværk, som Facebook Immune System, ikke effektive nok til at spore eller stoppe storstilede infiltrationer, når de sker," siger researcherne.
Oversat af Marie Dyekjær Eriksen
