Kolejna aplikacja OpenSocial i kolejne zagrożenie dla naszych danych.
Aplikacja iLike na Ning została złamana w ciągu 20 minut. Haker może dzięki niej uzyskać dostęp do listy znajomych, oraz informacji zastrzeżonych tylko dla znajomych. Może tez zmienić zawartość listy odtwarzania przypisanej do konta użytkownika.

Wcześniej shakowana aplikacja Emote (RockYou) nadal nie została naprawiona.

Więcej szczegółów na nowym blogu prowadzonym przez ujawniającego słabości Open Social hakera o pseudonimie theharmonyguy.
[via: TechCrunch]

Poprzedni wpis wywołał oskarżenia o tabloidowy tytuł i przesadzoną reakcję. Trafiłem na zgrzyt i Antyweb. Marcin uświadamiał, Grzegorz komentował... Dziękuję za wszystkie reakcje, bardzo Was lubię i cenię, cieszę się że czytacie wnet.

Nawet przez chwilę wydawało mi się, że macie rację i OpenSocial to całkiem bezinteresowna inicjatywa, która pozwoli na pełne wykorzystanie zalet sieci społecznej jaką budujemy w różnych serwisach w internecie.

Tym czasem pierwsza aplikacja Open Social została złamana przez hakera w ciągu 45 minut. "theharmonyguy" w tym czasie uzyskał dostęp do konta Johna McCrea, VP ds. marketingu serwisu Plaxo w jego własnym serwisie. Aplikacja rockyou znana tez jako "emote", pozwalająca na dodawanie do profilu emotikonek pozwala hakerowi na zmianę wyświetlanych w naszym profilu treści (tzn własnie tych emotikonek). Zanim McCrea się zorientował i potwierdził, że jego konto padło ofiara ataku, theharmonyguy powtórzył procedurę na koncie Michaela Arringtona, dowodząc, że OpenSocial jest nieodporne na proby podszycia się pod użytkownika.

Zdaniem hakera platforma OpenSocial prezentuje znacznie niższy poziom bezpieczeństwa niż API Facebooka. Co więcej, theharmonyguy wytyka deweloperom aplikacji Opensocial niechlujstwo, cytując fragmenty kodu aplikacji:

 

Some interesting code in there. For one, the app still doesn’t seem to be live for most of us (John McCrea from Plaxo has used it somehow) - it currently loads a “Please wait” iframe that never changes. But check out these code comments:

// TODO: no error checking - we’re bold…
// TODO: figure out why this is necessary???

Also, the code constantly branches between Plaxo and “default,” which appears to be Orkut. In fact, there are some hardcoded names that I bet showed up in some OpenSocial screenshots somewhere:

if (getContainerType() == “orkut”)
{
friendIds[iNumFriends] = “11285577331363942034″;
friendNames[iNumFriends] = “Raymond Chan”;
iNumFriends = iNumFriends + 1;

friendIds[iNumFriends] = “15479081059638046412″;
friendNames[iNumFriends] = “Jia Shen”;
iNumFriends = iNumFriends + 1;
}

 

OK. Może znów się czepiam i histeryzuję, może rzeczywiście mam mentalność przerażonego laika, może jestem "królem tabloidowych tytułów" i mistrzem krytyki. Ale czy nie jest tak, że domyślnie dane z aplikacji OpenSocial wędrują do Orkuta?
Czy nie widać w tej aplikacji wywalania sieci znajomych na zewnątrz, choć nie jest to wcale potrzebne do wyświetlenia emotikonki?
Czy to jest ok, ze poważne firmy zawiadujące naszymi danymi osobowymi (plaxo przechowuje całą książkę adresową swoich użytkowników) odkładają na później sprawdzenie błędów?

Plaxo wyłączyło aplikację rockyou.

A "tabloidowy" (choć bez obrazków) wnet powtarza - dbacie o prywatność? Uważajcie na OpenSocial.

Zamiast otwartości - kontrola i władza w rękach jednej korporacji
Zamiast dostępu do informacji - odebranie użytkownikom kontroli nad tym gdzie trafiają ich sekrety.

Open Social, tak chwalone przez wielu nowe API dla serwisów społecznościowych proponowane przez Google jest największym jak dotąd zagrożeniem dla wolności i prywatności w Internecie.

Open Social nie ma nic wspólnego z otwartością. Serwisy które wdrażają Open Social zgadzają się na oddanie kontroli nad naszymi danymi jednej firmie. Tylko Google ma pełną wiedzę o swoim nowym API dla społeczności. Tylko Google kontroluje które aplikacje zostaną zaakceptowane. Tylko Google wie dokąd trafią nasze utwory, nasze dane osobowe, nasza korespondencja z każdego serwisu który zgodzi się na Open Social.
Open Social nie jest Open Source. Tylko nazwa jest otwarta.

Od wprowadzenia OpenSocial nie mamy jako użytkownicy żadnej kontroli nad naszymi danymi - właściciele platform oddają je do Wielkiego Brata w Mountain View [edit: dzięki korektorze :)]. Open Social to nie jest read-only API które już znamy. Nie służy do tego, żebyśmy sami pobierali interesujące nas treści z innych serwisów. Ono służy także do tego, aby interesujące nas dane można było zabrać do innego serwisu.

Znika możliwość utrzymywania różnych tożsamości i sieci znajomych w różnych serwisach społecznościowych. To co naturalne w ludzkiej społeczności - czyli różne grupy znajomych dla różnych celów, teraz staje się iluzją. Nasze tożsamości społeczne są odarte z prywatności i wystawione na widok publiczny. Czy na pewno chcemy, aby pracodawcy z linkedIn mogli sprawdzać do jakich klubów umawiamy się ze znajomymi z bebo? Czy to dobry pomysł, żeby koledzy z którymi pijemy piwo byli przedstawieni naszemu biznesowemu partnerowi?
Czy jesteśmy pewni, że chcemy, żeby News Corp. wiedziało dzięki MySpace wszystko o muzyce jakiej słuchamy i przekazywało dzięki Open Social te dane do Amazon, który podwyższy ceny na produkty, które na pewno kupimy?
I najważniejsze pytanie: Dlaczego jedna korporacja ma mieć o nas wszystkie informacje i według uznania dzielić je z innymi firmami bez naszej zgody?
Open Social byłoby prawdziwą rewolucją w użyteczności. Jednak ja nie chcę z niej korzystać dopóki nie będzie mi zapewniona kontrola nad moimi danymi. Nawet jeśli ufam Google, to nie umiem zaufać News Corporation Murdocha.
Szanujesz prywatność? Uważaj na platformy z Open Social.
[edited 03.11.2007]

Miałem wczoraj wieczorną Polaków blip-rozmowę z Netto na ten temat - zaczęło się od tabloidyzacji blogosfery, skończyło na planie zdobycia świata przez szafy grające :)
Netto wykazał mi, że to przejęcie danych po pierwsze nie zależy od API tylko od implementacji i (po drugie) dał nadzieję graniczącą z pewnością, że Google w tej implementacji palców nie macza.
Więc uspokajam, u siebie i w komentarzach u netto.
Chyba jeszcze nie teraz nam te dane zabiorą. Ale uważać trzeba. W sprawach prywatności możecie liczyć, że wnet pierwszy zacznie narodową histerię.