Οποιοσδήποτε διαθέτει μια διεύθυνση email μπορεί να εισέλθει στα “law enforcement portals” στο Facebook και το WhatsApp και να υποβάλλει ένα αίτημα για να λάβει δεδομένα χρηστών. Τα law enforcement portals έχουν σχεδιαστεί για να μπορούν για παράδειγμα οι αστυνομικοί ή οι κυβερνητικοί υπάλληλοι να υποβάλλουν ένα αίτημα για να τους σταλούν κάποια συγκεκριμένα δεδομένα.
Η είσοδος στις δύο πύλες δεν παρέχει στους χρήστες πρόσβαση σε πληροφορίες χρήστων, ούτε ευαίσθητες πληροφορίες σχετικά με την εταιρεία. Ωστόσο, τα portals δεν έχουν σχεδιαστεί για να φιλτράρουν διευθύνσεις email με οποιονδήποτε τρόπο, αφήνοντας την πόρτα ανοιχτή στους spammers για ελεύθερη πρόσβαση στα portals, καθώς και την αποστολή ψευδών αιτημάτων.
Την περασμένη εβδομάδα, ο ερευνητής ασφαλείας Jacob Riggs ανακάλυψε ότι μπορούσε να έχει πρόσβαση στα δύο portal με οποιοδήποτε email. Το μόνο που έπρεπε να κάνει ήταν να εισαγάγει το email του, να το υποβάλει στα portals και, στη συνέχεια, να κάνει κλικ σε έναν σύνδεσμο επιβεβαίωσης που λάμβανε στα εισερχόμενά email του.
Μόλις η διαδικασία ολοκληρωνόταν, μπορούσε να ζητήσει τα αρχεία που ήθελε χρησιμοποιώντας τις παρακάτω φόρμες.
Ο Riggs ανέφερε το ζήτημα στο Facebook, πιστεύοντας ότι οφείλεται σε σχεδιαστικό ελάττωμα που έπρεπε να διορθωθεί. Το Facebook, ωστόσο, είπε στον Riggs ότι ήταν ένα χαρακτηριστικό και όχι σφάλμα.
“Αφοσιωμένες ομάδες και του Facebook και του WhatsApp εξετάζουν προσεκτικά κάθε αίτημα από την αστυνομία ή την κυβέρνηση για να διασφαλίσουν ότι ανταποκρινόμαστε μόνο σε έγκυρες νομικές διαδικασίες που απαιτούνται από την ισχύουσα νομοθεσία. Ενώ διατηρούμε πολιτικές για την αποτροπή της κατάχρησης ανεπιθύμητων μηνυμάτων του συστήματος online request, επιλέξαμε μια άλλη προσέγγιση σε αυτά τα αιτήματα, διότι πραγματοποιούμε χειροκίνητο έλεγχο κάθε αιτήματος που έρχεται στην εταιρεία μας”, δήλωσε εκπρόσωπος του Facebook. “Σε πολλές περιπτώσεις, τα αιτήματα περιλαμβάνουν καταστάσεις έκτακτης ανάγκης σε πραγματικό χρόνο και θα προτιμούσαμε να ελέγξουμε τα αιτήματα πρόσβασης χειροκίνητα και όχι να απορρίψουμε αυτόματα ένα άγνωστο “email domain” όπως αυτόν που χρησιμοποίησε ο ερευνητής ασφαλείας.”
Ο εκπρόσωπος πρόσθεσε ότι το σύστημα απορρίπτει ορισμένα “email domains” και έχει άλλους κανόνες για την αποτροπή των ανεπιθύμητων μηνυμάτων. Με άλλα λόγια, το Facebook προτιμά να επιτρέψει σε οποιονδήποτε να υποβάλει ένα αίτημα και στη συνέχεια να ελέγξει ότι είναι πραγματικό και νόμιμο, αντί να τον αποκλείσει με ένα αυτοματοποιημένο σύστημα.
Σε κάθε περίπτωση, τόσο τα portals του Facebook όσο και του WhatsApp περιλαμβάνουν μια ειδοποίηση για να αποθαρρύνουν τους πιθανούς spammers, προειδοποιώντας τους ότι μόνο “κυβερνητικές οντότητες εξουσιοδοτημένες να λαμβάνουν αποδεικτικά στοιχεία σε σχέση με επίσημες νομικές διαδικασίες” μπορούν να υποβάλουν τέτοιου είδους αιτήματα.
“Τα μη εξουσιοδοτημένα αιτήματα θα διώκονται”, αναφέρει η ειδοποίηση. “Ζητώντας πρόσβαση, αποδέχεστε ότι είστε κυβερνητικός ή αστυνομικός υπάλληλος που υποβάλλετε ένα αίτημα υπό την επίσημη σας ιδιότητα.”
Οι τεχνολογικές εταιρείες λαμβάνουν και επεξεργάζονται τακτικά νόμιμα αιτήματα δεδομένων μέσω αυτών των portal. Στο τελευταίο transparency report, το οποίο περιλαμβάνει αιτήματα δεδομένων για Facebook, Facebook Messenger, Instagram, WhatsApp και Oculus, και καλύπτει τους τελευταίους έξι μήνες του 2019, η εταιρεία αποκάλυψε ότι είχε λάβει 140.875 αιτήματα για δεδομένα χρηστών.
Πηγή: vice.com
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/266329/whatsapp-facebook-dedomena-astunomia/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/id:5ab3627374ce966ab1065d7d5a35fc4e/https://www.secnews.gr/3819.jpg&description=Η αστυνομία μπορεί να εισέλθει στα "law enforcement portals" στο Facebook και το WhatsApp, και να ζητήσει τα δεδομένα χρηστών, όπως και ...){kind=link}