Сацсетка цягам трох гадоў сачыла за сеткавым трафікам і аналізавала дзеянні карыстальнікаў месенджара. Апублікаваныя ўнутраныя дакументы паказваюць, як гэта адбывалася.
Сацсетка цягам трох гадоў сачыла за сеткавым трафікам і аналізавала дзеянні карыстальнікаў месенджара. Апублікаваныя ўнутраныя дакументы паказваюць, як гэта адбывалася.
Федэральны суд Каліфорніі апублікаваў дакументы, якія тычацца тайнай аперацыі Facebook пад кодавай назвай «Project Ghostbusters». Ад 2016 года супрацоўнікі кампаніі сачылі за карыстальнікамі Snapchat, перахопліваючы і расшыфроўваючы сеткавы трафік паміж карыстальнікамі і серверамі. Сачэнне было патрэбнае Facebook, каб падтрымліваць сваю канкурэнтную перавагу на рынку сацсетак.
Project Ghostbusters быў часткай праграмы In-App Action Panel (IAPP). Гэтая ініцыятыва не абмяжоўвалася Snapchat: неўзабаве Facebook пачаў сачыць за карыстальнікамі Amazon і Youtube, атрымліваючы зашыфраваны трафік. Кампанія спрабавала аналізаваць, як карыстальнікамі ўзаемадзейнічаюць з канкурэнтнымі платформамі, нягледзячы на ўсталяваныя гэтымі сэрвісамі бар’еры шыфравання.
Рэалізацыяй праекта займалася кампанія Onavo, якую Facebook набыла ў 2013 годзе. Для сачэння быў распрацаваны спецыяльны сэрвіс, тэхналогія якога нагадвае VPN. Рашэнне Onavo — так званыя «камплекты» для iOS і Android, якія метадам атакі Man-in-the-Middle перахоплівалі трафік для пэўных паддаменаў, «дазваляючы чытаць тое, што ў адваротным выпадку было б зашыфраванае». «Камплекты» былі схаванай часткай VPN-сэрвісу, які Onavo прапаноўвала афіцыйна.
Атака пасярэдніка, або атака «чалавек пасярэдзіне» — метад кампраметацыі канала сувязі, калі зламыснік таемна рэтранслюе і пры неабходнасці змяняе сувязь паміж двума бакамі, якія лічаць, што яны непасрэдна маюць зносіны адзін з адным. Узломшчык, падключыўшыся да канала паміж контрагентамі, ажыццяўляе ўмяшанне ў пратакол перадачы, выдаляючы або скажаючы інфармацыю. Для абароны ад нападаў MITM рэкамендуецца выкарыстоўваць шыфраванне end-to-end encryption (напрыклад, HTTPS для вэб-сайтаў), уважліва правяраць сертыфікаты бяспекі, пазбягаць падазроных Wi-Fi сетак і выкарыстоўваць VPN для забеспячэння дадатковага ўзроўню шыфравання даных.
Сэрвіс Onavo стаў «траянскі канём» Facebook, дазваляючы адсочваць вэб-актыўнасць карыстальнікаў сацсеткі на падставе гарантавання бяспекі. Паводле дакументаў, над Project Ghostbusters працавала каманда з некалькіх топ-менеджараў і больш за 40 юрыстаў. У 2019 годзе пасля расследавання TechCrunch кампанія афіцыйна закрыла падраздзяленне Onavo і сэрвіс Onavo VPN.
У дакументах утрымліваецца ўнутраная перапіска кампаніі, у тым ліку лісты Марка Цукерберга. У адным з іх ён падкрэслівае важнасць аналітыкі Snapchat у сувязі з хуткім ростам месенджара: «Кожны раз, калі хтосьці задае пытанне пра Snapchat, адказ звычайна палягае ў тым, што, паколькі іх трафік зашыфраваны, у нас няма аналітыкі ад іх. Улічваючы, як хутка яны растуць, важна знайсці спосаб атрымання надзейнай аналітыкі. Можа быць, напісаць уласны софт. Трэба прыдумаць, як гэта зрабіць».
Але ў Facebook былі і тыя, хто выказваў асцярогі з нагоды этыкі і бяспекі Project Ghostbusters. Некаторыя супрацоўнікі, у тым ліку Джэй Парых, тагачасны кіраўнік аддзела праектавання інфраструктуры Facebook, і Пэдра Канаўаці, тагачасны кіраўнік аддзела бяспекі, сцвярджалі, што канфідэнцыйнасць карыстальнікаў парушаецца, незалежна ад атрыманай згоды.
«Я не магу прыдумаць важкага аргумента на карысць таго, чаму гэта нармальна. Ніводны супрацоўнік службы бяспекі ніколі не ўхваліць гэтага метаду незалежна ад таго, ці пагодзіцца грамадскасць. Шырокая публіка проста не ведае, як гэтая штука працуе», — напісаў Канаўаці ў электронным лісце, уключаным у матэрыялы справы.
У 2020 годзе Facebook атрымала калектыўны пазоў ад імя Сары Граберт і Максіміліяна Кляйна. Яны абвінавацілі кампанію, што тая ўводзіла карыстальнікаў у зман адносна збору даных і здабывала іх падманным шляхам. У пазоўнай заяве падкрэслівалася, што Facebook выкарыстала гэтую інфармацыю ў несправядлівай канкурэнцыі і парушыла USA Freedom Act — закон, які забараняе праслухоўванне размоў і чытанне перапіскі іншага чалавека, акрамя як па рашэнні суда. Суд часткова задаволіў патрабаванні абвінаваўцаў.
Рэлацыраваліся? Цяпер вы можаце каментаваць без верыфікацыі акаўнта.