באג בפייסבוק מאפשר לכל אחד למחוק כל אלבום שהעלתם אי פעם לרשת החברתית. מודאגים? גם אנחנו!

כמה אלבומים העלת אי פעם לפייסבוק? כמה תמונות תויגת בהם ולא חשבת מעולם לעשות להם גיבוי? מכל אירוע, מסיבה או סתם בזמן ארוחת ערב חגיגית בעבודה, עולות מליוני תמונות לחשבונות הפייסבוק בעולם, אבל האם בגלל שאנחנו כל הזמן שם, אף אחד לא עצר באמת, לבדוק אם המידע שלנו מאובטח והאם ישנה אופציה שכולו ייעלם יום אחד? ולנו, לא תהיה אפילו גישה אליו?

באג פייסבוק שנחשף בשבוע האחרון אפשר לכל אחד עם מעט ידע טכני למחוק כל תמונה מהפייסבוק, לתמיד. למרבה המזל, האדם שגילה את הבאג, מוטיה לקסמן, צעיר מהודו, מיהר להתריע על כך לפייסבוק, וקיבל על הדיווח הזה 12,500$, במסגרת תוכנית תיקון הבאגים של פייסבוק. ככל הנראה הבאג הזה, אם היה מתגלה לאנשים קצת פחות סימפטיים, היה בקלות יכול לעלות לפייסבוק נזק כספי רב יותר. אנשי פייסבוק עבדו במשך שעתיים שלמות ותיקנו לבסוף את הבאג. פייסבוק הודו ללקסמן, שדיווח על הבעיה דרך Bug Bounty Program של פייסבוק.

לקסמן פרסם בדיוק איך זה עובד. אבל לכל אלה שפחות מבינים בצד הטכני שמאחורי הקלעים, הנה גרסה קצרה; גרף ה-API של פייסבוק לא בדיוק בודק את ההרשאות כראוי, ולכן, אם שלחת בקשה למחיקת אלבום תמונות של משתמש כלשהו, הוא לגמרי ימחק את עצמו בצורה עיוורת לחלוטין. מנקודת מבטו של ההאקר, הפקודה מאד פשוטה לתפעול. מצידו של הקורבן- הדבר אומר שהאלבום או התמונה ייעלמו לגמרי ולא יהיו ניתנים לשחזור.

זה באמת אחד מאותם דברים שהמשתמש הפשוט, כמוני כמוכם, לא מעלה בדעתו שיכולים להתרחש. האם אנחנו יותר מידי סומכים על פייסבוק? אם נסתכל על העובדות, הדבר אכן התאפשר, הודות למערכת הלא בדיוק מאובטחת של פייסבוק, שמחזיקה עלינו יותר מידע, מהרבה חברות בעולם. לא זו בלבד שהזיכרונות שלנו היו נמחקים, אלא שהסיפור הזה יכל להגמר עם השלכות שליליות במיוחד, אם היה נופל לידיים הלא נכונות.

חברת ביטחון המידע Sophos ציינה בנוגע לפרשה, כי אלבומי התמונות בפייסבוק מזוהים ומאוחסנים עם מספרים פשוטים ורציפים. אם מישהו רוצה לפגוע בשרת של פייסבוק ולהעלים ממנו אלבומים, הוא מסוגל לעשות כן, בצורה מאד פשוטה.

פייסבוק בתגובה טענו, כי זה לא כל כך קל למחוק כמויות של אלבומים (אבל תמונה אחת כן?). הם טענו כי הם קיבלו דיווח על הבעיה בתקשורת עם גרף ה-API שלהם ותיקנו אותו במהירות. עוד טענו, כי על מנת לבצע פריצה לשם מחיקת אלבום נדרש ידע לגבי תעודת הזהות של האלבום, שלטענתם היא לא כזו פשוטה, כמו גם גישה לצפייה באלבום, המבוסס על הגדרות הפרטיות של האלבום עצמו, שהוגדר על ידי המשתמש.

מהפרשה הזו, כמשתמשים פרטיים ובפרט כמנהלי דיגיטל של חברות, יכולים ללמוד דבר או שניים. פייסבוק הוא לא כונן גיבוי. מנהלי דיגיטל, שרוב פעילותכם מתבצעת בתחום הסושיאל, רצוי שתהיו ערים לכך שדברים בהחלט עשויים להשתבש. פייסבוק, כמו גם חשבונות חברתיים נוספים, נמצאים באיום מתמיד של נסיונות פריצה.חשבו מה יקרה במידה וחשבון הפייסבוק של החברה שלכם יימחק כליל? כל העבודה ששקדתם עליה, כל המעורבות וכמובן הלקוחות עצמם, ייעלמו כלא היו.

מוסר ההשכל לא נועד להפחיד אתכם כמובן או לגרום לכם לבצע הסבת מקצוע למנהלי אבטחת מידע. אבל אנו בהחלט ממליצים לכם לגבות את התמונות שאתם מעלים (גם בחשבונות הפרטיים) ואת המידע שאתם רוצים שישמר, אצלכם בדרכים נוספות, מאובטחות יותר. האינטרנט, כידוע, הוא חלל פרוץ, ובעוד אנחנו כולנו, סומכים על התאגידים הגדולים שמחזיקים במידע הכי רגיש שלנו, שישמרו עליו מכל משמר, זו אף פעם לא הבטחה לאבטחה. שימו לב והתנהלו בהתאם.