Facebook wykorzystywał urządzenia użytkowników do szpiegowania konkurencji?

Cyberatak „man-in-the-middle SSL”

Facebook został przyłapany na wykorzystaniu metody cyberataku „man-in-the-middle SSL” w celu przechwycenia i odszyfrowania zaszyfrowanego ruchu analitycznego Snapchata, YouTube i Amazon.

Projekt o kryptonimie „Ghostbusters” miał na celu przechwytywanie zaszyfrowanego ruchu w aplikacjach konkurentów do celów analitycznych pomimo wewnętrznego sprzeciwu. Praktyka ta prawdopodobnie narusza przepisy dotyczące podsłuchów i jest „potencjalnie przestępcza” – twierdzą reklamodawcy pozywający Meta.

Facebook opracował niestandardową technologię, tak zwane „zestawy”, zarówno na urządzenia z Androidem, jak i iOS, które podszywały się pod oficjalne serwery i odszyfrowywały ruch, do którego Facebook nie miał autoryzacji. Dane umożliwiły Facebookowi zaplanowanie posunięć konkurencyjnych wobec Snapchata i innych firm.

Jak unikać phishingu w wiadomościach na social mediach? Joanna Gościńska

„Opracowaliśmy „zestawy”, które można zainstalować na systemach iOS i Android, które przechwytują ruch dla określonych subdomen, pozwalając nam odczytać ruch, który w innym przypadku byłby zaszyfrowany, dzięki czemu możemy zmierzyć wykorzystanie w aplikacji (tj. konkretne działania wykonywane przez ludzi w aplikacji, a nie tylko ogólne odwiedziny w aplikacji). To podejście typu „człowiek pośrodku” – czytamy w wewnętrznym e-mailu opublikowanym w dokumencie sądowym.

Plan był również szczegółowy: rekrutacja panelistów za pośrednictwem stron trzecich i dystrybucja „zestawów” pod własną marką. Użytkownicy nie mogli wykryć tajnych zestawów, chyba że użyli specjalistycznego narzędzia, takiego jak Wireshark. Tak zwany program Panelu działań w aplikacji („IAAP”) Facebooka istniał od czerwca 2016 r. do około maja 2019 r.

Od tego czasu Meta odpowiedziała na wnioski powodów złożone we wtorek w ich własnym pozwie. „Świadek Snapchata dotyczący reklam na podstawie art. 30(b)(6) potwierdził, że Snap nie jest w stanie „zidentyfikować ani jednej sprzedaży reklam, którą [utracił] w wyniku korzystania przez Meta z produktów do badań użytkowników” nie wie, czy inni konkurenci zebrali podobne informacje i nie wiedzieć, czy którekolwiek badania Meta zapewniły Meta przewagę konkurencyjną” – twierdzi Meta.

Zaangażowanie Zuckerberga

Według reklamodawców pozywających Meta, tajny program został uruchomiony na prośbę Marka Zuckerberga. Cytaty Zuckerberga z wewnętrznych e-maili do kadry kierowniczej najwyższego szczebla w czerwcu 2016 r. ujawniają, że martwił się szybkim rozwojem Snapchata. Facebook nie posiadał statystyk dotyczących konkurenta, ponieważ jego ruch był szyfrowany.

Zuckerberg powiedział, że ważne wydaje się „znalezienie nowego sposobu uzyskiwania wiarygodnych analiz na ich temat” za pomocą paneli lub niestandardowego oprogramowania, „biorąc pod uwagę, jak szybko się rozwijają”.

Jak zgłosić profil osoby zmarłej na FB?Katarzyna Leszczak

Javier Olivan, obecnie dyrektor operacyjny Facebooka, zgodził się i zlecił Onavo, usłudze podobnej do VPN, którą Meta nabyła w 2013 r., „nieszablonowego myślenia” w przypadku tego „naprawdę ważnego” zadania. Olivan zasugerował potencjalnie płacącym użytkownikom, aby pozwolili im „zainstalować naprawdę ciężki program (który mógłby nawet wykonać człowiek pośrodku itp.)”.

Do połowy czerwca 2016 r. zespół Onavo stworzył prezentację inauguracyjną „Projekt Ghostbusters”, nawiązującą do logo ducha Snapchata. „Dokumenty i zeznania pokazują, że to podejście typu „człowiek pośrodku” – które opierało się na technologii znanej jako podbicie SSL po stronie serwera wykonywane na serwerach Onavo Facebooka – zostało w rzeczywistości wdrożone na dużą skalę od czerwca 2016 r. do początków 2019 rok” – twierdzą powodowie.

Oprogramowanie szpiegowskie zdolne do pozyskiwania, odszyfrowywania i przesyłania danych zostało rzekomo wdrożone przeciwko YouTube w latach 2017–2018 i przeciwko Amazonowi w 2018 r. Kod zawierał „zestaw” po stronie klienta, który instalował certyfikat główny na urządzeniach mobilnych użytkowników Snapchata. Kod po stronie serwera rzekomo wykorzystywał serwery Facebooka do tworzenia fałszywych certyfikatów cyfrowych w celu podszywania się pod zaufane serwery analityczne aplikacji w celu przekierowania i odszyfrowania ruchu analitycznego na potrzeby własnej analizy Facebooka.

Jeden ze strategów Facebooka stwierdził, że walka konkurencyjna Snapchata była prawdopodobnie powiązana z wysiłkami dotyczącymi produktu, o których informowano na podstawie analizy Onavo. Dyrektor Snap zeznał, że przeprojektowanie Facebooka na podstawie danych utrudniło firmie sprzedaż reklam.

Według Business Insider w tym czasie Facebook wprowadził Stories na Instagramie, funkcję w zasadzie identyczną z podstawową funkcją Snapchata polegającą na znikaniu postów ze zdjęciami.

Jak wynika z innego dokumentu, na początku 2019 roku, w odpowiedzi na działania egzekucyjne Apple, mające na celu powiązanie z postępowaniem IAAP, dyrektorzy Meta podjęli ogólnofirmowe wysiłki, aby przeanalizować i opisać ryzyko i korzyści związane z programem, aby mógł on osobiście zdecydować, czy kontynuować program.

Naruszył ustawę o podsłuchach? 

Tajny program Facebooka prawdopodobnie naruszył ustawę o podsłuchach, która zabrania celowego przechwytywania komunikacji elektronicznej i wykorzystywania takiej przechwyconej komunikacji. Snapchat nie wyraził zgody na przechwytywanie, odszyfrowywanie ruchu Facebooka i wykorzystywanie go do „celi niedozwolonych”.

Nie wszyscy pracownicy Facebooka wspierali program Ghostbusters. Jay Parikh i szef inżynierii bezpieczeństwa Pedro Canahuati wyrazili obawy, a ten ostatni stwierdził: „Nie mogę wymyślić dobrego argumentu na poparcie tego, dlaczego jest to w porządku. Żadna osoba zajmująca się bezpieczeństwem nie czuje się z tym komfortowo, bez względu na to, jaką zgodę uzyskamy od ogółu społeczeństwa” – podało NDTV.

„Kadra kierownicza najwyższego szczebla ds. inżynierii w firmie uważała program IAAP za koszmar prawny, techniczny i związany z bezpieczeństwem” – czytamy w dokumencie sądowym.

Dokumenty zostały ujawnione w ramach pozwu zbiorowego przeciwko Facebookowi przed sądem federalnym w Kalifornii. Meta jest oskarżona o kłamstwo na temat swojej działalności polegającej na gromadzeniu danych i wykorzystywaniu danych, które „w oszukańczy sposób wydobyła” od użytkowników w celu nieuczciwej walki – podał TechCrunch.

W 2019 roku Facebook zamknął Onavo po tym, jak dochodzenie TechCrunch ujawniło, że Facebook potajemnie płacił nastolatkom za korzystanie z Onavo, aby firma mogła uzyskać dostęp do całej ich aktywności w Internecie.

Atak typu man-in-the-middle (MITM) to rodzaj cyberataku, podczas którego podmiot zagrażający w tajemnicy przechwytuje komunikację między dwiema stronami w celu podsłuchiwania ruchu i ewentualnego manipulowania przesyłanymi danymi.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.