Facebook a spionat ce fac utilizatorii săi pe Snapchat, YouTube și Amazon, deși acele aplicații criptau traficul propriu

Documente făcute publice de un tribunal arată că Facebook a folosit un truc urât pentru a spiona ce fac utilizatorii rețelei sociale în alte aplicații, precum Snapchat, Amazon și YouTube. Acele aplicații criptau traficul făcut de ele între telefoane și servere, deci Facebook a avut nevoie de o metodă de a trece peste această criptare. Și a găsit-o.

Într-un email din 2016, Zuckerberg le scrie unor subalterni din Facebook:

“Given how quickly they’re growing, it seems important to figure out a new way to get reliable analytics about them. Perhaps we need to do panels or write custom software. You should figure out how to do this.”

Nu-mi pasă cum, dar vreau să meargă!

Și angajații Facebook au făcut-o să meargă. Au folosit un VPN numit Onavo, pe care Facebook îl cumpărase în 2013. Instalat pe telefoanele utilizatorilor, VPN-ul vede traficul făcut prin rețea înainte să fie criptat. Astfel, Facebook a putut avea niște date tip analytics despre activitatea pe Snapchat și apoi Amazon și YouTube.

Ce fel de date? Probabil nu parole sau clipurile la care te uiți. Din analiza traficului de date și a pachetelor trimise prin rețea, poți trage însă o mulțime de concluzii: de câte ori face un utilizator upload de fotografii, la câte clipuri video se uită, de câte ori a accesat pagina de checkout de pe Amazon, semn că a dat o comandă, ce fel de subdomenii accesează pe Amazon, de câte ori intră în mesageria privată din Snapchat etc.

De fapt, în funcție de cum erau construite acele aplicații, poate că era posibil ca Facebook să determine URL-uri sau alte date care ar fi arătat exact la ce produse se uită cineva pe Amazon sau ce clipuri urmărește pe YouTube.

Facebook a numit asta proiectul Ghostbusters. Pentru a aduna date, trebuia ca utilizatorii să instaleze VPN-ul Onavo pe telefoanele sau computerele lor. De ce ar face asta?

Nu știu, dar cred că de fapt nu a fost complicat de pus în practică. Cu suficiente reclame rulate pe Facebook despre avantajele VPN-ului, poți convinge destui oameni să-l instaleze. Plătești câțiva influenceri sau streameri să-l promoveze. Facebook avea practic resurse infinite de promovare. Deja după câteva sute sau mii de instalări, poți trage concluzii statistice bune.

Și probabil doar câțiva din companie știau că este ceva mârșav în spate. În acea perioadă, Facebook era o companie privită destul de bine. Un VPN făcut chiar de Facebook? Probabil l-au promovat și instalat mulți fără nici o problemă, fără a bănui că, în paralel, VPN-ul face un soi de atac man-in-the-middle pentru a spiona anumite aplicații.

Am scris acum câteva săptămâni despre criptare, ce este criptarea end-to-end și de ce contează ea. Scriam acolo că mesajele criptate sunt practic imposibil de decriptat. Un atac de tipul man-in-the-middle le poate intercepta însă înainte de criptare. VPN-ul Facebook, mai degrabă, vedea încotro sunt trimise mesaje criptate. Nu cred că le păsa de conținutul fotografiilor uploadate pe Snapchat, ci de câte ori accesează în medie un utilizator adresa upload-de-fotografie.snapchat.com, să zicem.

Nu toți angajații Facebook au fost de acord cu ideea aceasta:

Inside Facebook, there wasn’t a consensus on whether Project Ghostbusters was a good idea. Some employees, including Jay Parikh, Facebook’s then-head of infrastructure engineering, and Pedro Canahuati, the then-head of security engineering, expressed their concern.

“I can’t think of a good argument for why this is okay. No security person is ever comfortable with this, no matter what consent we get from the general public. The general public just doesn’t know how this stuff works,” Canahuati wrote in an email, included in the court documents.

Facebook a închis Onavo în 2019. O investigație a TechCrunch a arătat atunci că Facebook a plătit adolescenți să instaleze Onavo pentru a le putea spiona apoi obiceiurile și activitatea online. Nu este clar cât timp a durat acțiunea de a monitoriza Snap, Google și Amazon.  De treabă Zuckerberg, nu?

sursa: Facebook.