Новая крупная утечка данных Facebook показала, что слабым звеном в защите личных данных остаются партнеры соцсети. Как бы ни защищала приватность сама Facebook, она кончается в момент, когда кто-то в сторонней компании решает переложить открытый архив на общедоступный сервер.
Детали. Исследователи UpGuard обнаружили в открытом доступе на серверах Amazon S3 146 гигабайта данных пользователей Facebook, принадлежащих мексиканской медиакомпании Cultura Colectiva. В архиве более 540 млн записей, включающих комментарии, лайки, названия аккаунтов, Facebook ID и прочие данные.
Отдельно обнаружен небольшой архив данных пользователей малоуспешного социального приложения At the Pool, закрывшегося в 2014 году. Однако он опасен тем, что содержит 22 000 незашифрованных паролей, которые пользователи могут использовать на других сервисах. Пользователей легко отследить по имеющимся там же почтовым адресам и Facebook ID.
«Как показывают эти утечки, джина данных не загнать обратно в бутылку. Личные данные пользователей Facebook разошлись настолько широко, что соцсеть никак не может их контролировать. В сочетании с публичными сервисами хранения данных, которые пользователи склонны ошибочно конфигурировать как общедоступные, это дает длинный «хвост» утечек», — пишут специалисты UpGuard.
Исследователи не публиковали свои результаты до удаления архивов. Но если архив At the Pool исчез с сервера даже до первого извещения, то Cultura Colectiva понадобилось три месяца, несколько писем, жалоба в Amazon и запрос от Bloomberg, чтобы наконец исправить ошибку.
Почему это важно. Помимо доказательства того, что в интернете ничто не пропадает, этот кейс обнажил неприятную дилемму, с которой сталкиваются сервисы хранения данных вроде Amazon, отмечает Bloomberg. Если сервис удаляет проблемные данные без ведома владельца, это означает нарушение контракта и потерю доверия клиента. Если такие данные не удалять, страдают другие люди.
Хорошего решения этой дилеммы нет. Amazon настаивает, что данными на ее серверах владеют клиенты и они же должны нести за них ответственность. Компания стала крупнейшим в мире провайдером облачного хранения в том числе за счет того, что гарантировала приватность, сравнимую с частным сервером. Вместе с преимуществом приватности компания может утратить и клиентов, пишет Bloomberg.