PSA azoknak, akik névtelenül csevegnek idegenekkel az interneten: Nem minden tér olyan privát.
Indrajeet Bhuyan biztonsági kutató szerint az Omegle – egy ingyenes online csevegőoldal, ahol idegeneket véletlenszerűen párosítanak egy-egy csevegésre – “nem olyan anonim, mint állítja”.
Minden csevegési naplót az Omegle szerverén tárolnak, miután a felhasználó kilép a beszélgetésből, mondta Bhuyan egy e-mailben.
“Miután a felhasználó megszakítja a csevegést, az Omegle véglegesen elmenti a teljes csevegési naplót a szerverén” – mondta Bhuyan.
Az Omegle adatvédelmi irányelvei szerint “A csevegőüzeneteket egy automatizált rendszer szűri ki a spamek szempontjából. Általában az üzeneteket nem tároljuk, de a gyanúsnak minősített üzeneteket határozatlan ideig tárolhatjuk, és kiválasztott üzeneteket egy ember elolvashatja az Omegle spamellenes szoftverének javítása érdekében, vagy más minőségellenőrzési célokból”.
Az Omegle megjegyzi továbbá, hogy a chat indításakor az időbélyegző, az IP-cím, az azonosító süti “és az Ön és a chatpartner hasonló adatai” rögzítésre kerülnek, és felhasználhatók a spammerek, hackerek és más potenciális kibertérbeli szabálysértők nyomon követésére, valamint “bűnüldözési célokra” vagy statisztikai adatok összeállítására. Mindezeket az adatokat “általában” körülbelül 120 napig tárolják.
A probléma itt nem az, hogy az Omegle azt állítja, hogy nem rögzíti a csevegéseket a platformján – az adatvédelmi szabályzatában egyenesen azt állítja, hogy rengeteg információt gyűjt a felhasználóiról, és az ott bedobott “jellemzően” alapján lényegében addig tarthatja meg ezeket az adatokat, ameddig csak akarja. A probléma az, hogy az Omegle-t a szándékos anonimitás tereként forgalmazzák, ahol a felhasználók online társaságot alakíthatnak ki idegenekkel – és hacsak nem olvassa végig az adatvédelmi szabályzatát, valószínűleg nem tud arról, hogy a csevegését kezdettől fogva rögzítik.
“Az emberek az Omegle-en gyakran azt hiszik, hogy a csevegésük privát, és a csevegések törlődnek, amint megszakítják a beszélgetést” – mondta Bhuyan. “E hamis biztonságérzet miatt az emberek gyakran osztanak meg rajta érzékeny információkat”.
A csevegés elindítása szinte azonnal megtörténik, és hacsak a felhasználó nem olvassa át az adatvédelmi irányelvek oldalát a csevegés előtt, semmi sem utal arra, hogy az adatait tárolják. És ezek az érzékeny információk mind érzékenyek a hackerek számára, ami azt jelenti, hogy ezek a magánbeszélgetések rossz kezekbe kerülhetnek, és nagyon is nyilvánosságra kerülhetnek. Amint arról a Hacker News beszámolt, ezekhez a rögzített beszélgetésekhez való hozzáféréshez “kevés hackertudás” szükséges, Bhuyan Python scriptjét, az Omegle-Chat-Hacket idézve bizonyítékként arra, hogy valaki az Omegle-n kívülről is letöltheti a felhasználók beszélgetéseit.
Az Omegle szóvivője egy e-mailben azt mondta, hogy szerintük Bhuyan hackelése úgy volt megvalósítható, hogy kitalálta egy felhasználó által elmentett chatlog URL-jét – egy véletlenszerű betű- és számsorozatot -.
“A gyakorlatban ez leginkább a felhasználók által évekkel ezelőtt elmentett chatlogok esetében jelent gondot, amelyeknek rövidebb URL-je volt, amit könnyebb volt kitalálni” – mondták. “Az újabban generált URL-eket sokkal nehezebb kitalálni, de a biztonság kedvéért az újonnan generált URL-eket még hosszabbá tettem erre reagálva.”
Úgy vélik, hogy a veszélyeztetettek valószínűleg csak azok a felhasználók, akik elmentették a chatnaplóikat, és azok, akiket olyan URL-címekkel mentettek el, “amelyek elég rövidek ahhoz, hogy kitalálhatóak legyenek”, de megismételték, hogy az Omegle még hosszabbá tette az újonnan generált URL-címeket, “hogy biztosra menjünk ezzel kapcsolatban.”
2016. augusztus 19., 15:01: Ezt a történetet frissítették.