10 septiembre 2009

¿Qué personaje de Lost eres?

Bajo esta inocente pregunta se esconde un quiz de Facebook que permite a los desarrolladores de estas aplicaciones acceder a la información de nuestro perfil, esté o no en modo privado.

Tus fotos, grupos en los que estés, tendencias políticas, religión u orientación sexual, estarán a disposición de estos desarrolladores. Y no sólo las tuyas sino también la información de tus amigos.

American Civil Liberties Union (ACLU) está realizando una campaña para la que han desarrollado un quiz en donde puedes ver todo lo que se puede extraer de tu perfil. Al realizar el test vemos como extrae nuestra información personal: nuestras fotos, grupos, etc...
Y además la información de nuestros amigos que tenemos agregados.
Esto es verdaderamente alarmante, ¿qué serán capaces de hacer con toda esta información?, nuestro tesoro oculto. <Mode-albal-en-la-cabeza> ¿Venderla para estudios estadísticos? ¿al gobierno? </Mode-albal-en-la-cabeza>

La red social consciente de esto ha desactivado cientos de estas aplicaciones que no cumplían con la política de Facebook, pero esto no es suficiente. Las opciones de privacidad no hacen nada para prevenir que las aplicaciones de los desarrolladores accedan a tu información. Dicen que están trabajando en implementar nuevos controles de los datos del usuario. Esperemos que esto se haga efectivo pronto y de forma que protejan nuestro derecho de privacidad.

Si accedemos a la Configuración de Privacidad a partir de la pestaña Opciones, leemos que nos informan de ello:
  1. A menos que tú o tus amigos hayáis dado vuestra autorización a una aplicación al visitarla, Facebook sólo le permitirá acceder a la información disponible en las búsquedas públicas (tu nombre, redes, foto de perfil y lista de amigos).
  2. Cuando des tu autorización a una aplicación, ésta podrá acceder a cualquier dato relacionado con tu cuenta que le sea preciso para funcionar.
  3. Cuando un amigo tuyo visita una aplicación o la autoriza, la información a la que la aplicación puede acceder incluye la lista de amigos de tu amigo e información acerca de las personas de esa lista.
  4. Si interactúas con una aplicación que ha sido restringida a usuarios de cierta edad y/o país sin autorizarla explícitamente, la aplicación puede ser capaz de inferir tu fecha de nacimiento o ubicación aproximada porque has podido acceder a ella.
Y yo me pregunto: ¿para qué necesitan acceder a mis fotos o grupos en los que estoy inscrita cuando realizo un test para saber a qué personaje de The Big Bang Theory me parezco? personalmente me suena análogo a dar privilegios de root al comando 'date' para ver la fecha en un sistema Unix.

Desde FB indican que los usuarios pueden limitar la información de las aplicaciones, pero esto no es suficiente.


ACLs granulares en FB ya!

Como dice Obama: "Tengan cuidado con lo que suban a Internet, porque permanecerá allí el resto de sus vidas".

Esta info nos llegó vía Antonio Ortiz.

8 comments :

Miguel dijo...

Los "ACLs granulares" no son la solución si no van acompañados de una "gestión para tontos" de los mismos.

Basta pensar en que tipo de usuarios con los conocimientos justos (además de inconscientes) tiene FB.

Laura García dijo...

@Miguel: En efecto, no hay peor ciego que el que no quiere ver, para el que pasa de todo le importa 0 que haya herramientas, pero estas son necesarias.

Gracias por tu aportación

GigA ~~ dijo...

Interesante entrada. Desconocía que se pudiera seleccionar la info que las aplicaciones pueden ver de ti, "algo" es algo.

Salu2

CoDeLIkO dijo...

Magnifico trabajo Laura, que sepas que soy un seguidor de este blog aunque no postee mucho :)

Un saludo

Codeliko

Laura García dijo...

@CoDeLIkO: Muchas gracias!

Saludos

Anónimo dijo...

Hombre personalmente, llevo ya mucho tiempo avisando de este tipo de riesgos. Incluso aún recuerdo, que para apuntarse a la cena de cumpleaños de este fantástico blog, el primer camino era mediante FB. Da igual FB, que cualquier otra red social, de las seis charlas de seguridad del www2009, cuatro erán sobre la exposición de tus datos en este tipo de redes. La mejor manera, es no utilizarlas que es lo que yo hago, sino desgraciadamente, teniendo en cuenta aquel alrededor de 2% de usuarios de FB, que tuvieron a bien votar para mejorar las medidas de seguridad, es un claro sintoma de que a la gente le importa un bledo. La identidad digital "mal gestionada" es una ola, como lo fue el pelotazo urbanístico por estos lares, hasta hace poco.
A más de uno le terminará pillando con el culo al aire, cuando sea demasiado tarde, ¡como siempre!.
Por otro lado de nuevo se demuestra que la seguridad no es solo perimetral, sino que el desarrollo de Sw, es un gran talón de aquiles.
Saludos, y buen artículo
P.X.

Laura García dijo...

@GigaA: Muchas gracias! :)

@P.X: no creo que la mejor opción sea "no utilizarlas", como dices. Sino saber utilizarlas y pedirles que tengan unos mínimos de seguridad para proteger la información de los usuarios.

Saludos

sntg dijo...

Eso de los sombreros de papel albal es un mito, en realidad solo sirven para hacer que el gobierno interfiera mejor en tu cerebro

Proofs:
http://people.csail.mit.edu/rahimi/helmet/