מומחים חוששים: משתמשי פייסבוק עלולים לחשוף פרטים שלא ביודעין
החשש התעורר לאחר שהרשת החברתית ערכה שינוי בתיבה המוצגת כאשר מורידים יישומים מצד שלישי ● המשתמשים בתיבה מתבקשים לאשר גישה לפרטים של מוריד היישום, בהם הכתובת ומספר הטלפון ● החששות הם שמשתמשים שלא ישימו לב לשינוי עלולים לאשר את מסירת הפרטים באופן אוטומטי, שגורמים מפוקפקים יציעו יישומים מזויפים על מנת להניח יד על הכתובת ומספר הטלפון לצורך תרמיות ומעשי נוכלות ושמפתחים לגיטימיים ימכרו את הפרטים
בעקבות שינוי שערכה פייסבוק (Facebook) בסוף השבוע בתיבה המוצגת כאשר מורידים יישומים מצד שלישי, חוששים מומחים, כי המשתמשים עלולים לחשוף את הכתובות ומספרי הטלפון שלהם למפתחים שלא ביודעין.
המשתמשים בתיבה מתבקשים לאשר גישה לשם של מוריד היישום, לתמונת הפרופיל שלו, לרשימת החברים ועוד. החל מיום ו' נוספו לרשימת הפרטים הנחשפים גם הכתובת ומספר הטלפון, וכעת עולה החשש, כי משתמשים שלא ישימו לב לשינוי עלולים לאשר את מסירת הפרטים באופן אוטומטי.
חשש נוסף הוא שגורמים מפוקפקים יציעו יישומים מזויפים על מנת להניח יד על הכתובת ומספר הטלפון לצורך תרמיות ומעשי נוכלות. אפשרות מדאיגה נוספת היא שמפתחים לגיטימיים ימכרו פרטים שקיבלו על משתמשים ברשת החברתית לסוחרי נתונים וחברות שיווק.
גרהאם קלולי מחברת האבטחה סופוס (Sophos) הציע למשתמשים להימנע מלחיצה אוטומטית על לחצן Allow ולקרוא היטב מה הם בדיוק מאשרים. בכל מקרה של ספק מומלץ שלא להתיר את העברת הפרטים, משום שאת היישומים עצמם ניתן להוריד גם אם לא מוסרים כתובת ומספר טלפון למפתחיהם.
עוד המליץ קלולי "למהר ולהסיר את הכתובת ומספר הטלפון מדפי הפרופיל בפייסבוק". הוא אף תהה אם לא היה עדיף אילו "רק מפתחי יישומים שהוסמכו לכך על ידי פייסבוק יוכלו לאסוף מידע שכזה, ובכלל – האם לא עדיף שהפרטים הנחוצים למפתחי היישומים ייאספו בדרך של דרישה מפורשת מהמשתמשים, במקום באמצעות אישור אוטומטי?"
לא ניתן היה לקבל תגובה מפייסבוק.
A year ago security expert warned Facebook that their application is vulnerable to ClickJacking attacks, he uploaded a video and a online demo: http://narkolayev-shlomi.blogspot.com/2010/01/clickjacking-facebook.html This vulnerability allows attackers force victims to install 3rd party applications.