En uppmaning till personer som anonymt chattar med främlingar på internet: Alla utrymmen är inte så privata.
Enligt säkerhetsforskaren Indrajeet Bhuyan är Omegle – en gratis chattsajt på nätet där främlingar slumpmässigt paras ihop för enskilda chattsessioner – ”inte så anonym som den påstår”.
Varje chattlogg sparas i Omegles server efter att en användare avslutar en konversation, säger Bhuyan i ett e-postmeddelande.
”När en användare kopplar bort sin chatt sparar Omegle hela chattloggen i sin server permanent”, säger Bhuyan.
I Omegles sekretesspolicy står det att ”Chattmeddelanden granskas av ett automatiserat system för skräppost. I allmänhet lagras inte meddelanden, men meddelanden som flaggas som misstänkta kan lagras på obestämd tid, och utvalda meddelanden kan läsas av en människa för att förbättra Omegles antispamprogramvara eller för andra kvalitetskontroller”.
Omegle fortsätter med att notera att när du startar en chatt registreras tidsstämpel, IP-adress, ID-cookie ”och liknande information för dig och din chattpartner” och kan användas för att spåra spammare, hackare och andra potentiella cyberrymdsförbrytare samt för ”brottsbekämpande syften” eller för att sammanställa statistiska uppgifter. Alla dessa uppgifter lagras ”vanligtvis” i cirka 120 dagar.
Problemet här är inte att Omegle hävdar att de inte registrerar chattarna på sin plattform – de uppger direkt i sin integritetspolicy att de samlar in en hel del information om sina användare och att de, baserat på ”typiskt sett” som slängts in där, i stort sett kan behålla alla dessa uppgifter så länge som de vill. Problemet är att Omegle marknadsförs som en plats för frivillig anonymitet, där användarna kan utveckla ett umgänge på nätet med främlingar – och om du inte läser igenom integritetspolicyn är du troligen ovetande om att din chatt spelas in från början.
”Människor på Omegle tror ofta att deras chattar är privata och chattar raderas när de kopplar bort konversationen”, säger Bhuyan. ”På grund av denna falska känsla av säkerhet delar människor ofta känslig information på det.”
Att starta en chatt är nästan ögonblickligt, och om en användare inte läser igenom sekretesspolicyn före en chatt finns det ingen indikation på att din information lagras. Och all denna känsliga information är känslig för hackare, vilket innebär att dessa privata konversationer kan hamna i fel händer och bli mycket offentliga. Hacker News rapporterade att dessa inspelade konversationer kräver ”lite kunskap om hackning” för att komma åt, och citerade Bhuyans pythonskript, Omegle-Chat-Hack, som bevis för att någon utanför Omegle kan ladda ner användarnas konversationer.
En talesperson för Omegle sade i ett e-postmeddelande att de tror att Bhuyans hack var möjligt genom att gissa URL:n till en chattlog – en slumpmässig sekvens av bokstäver och siffror – som en användare har sparat.
”I praktiken är det mest ett bekymmer för chattloggar som användarna sparade för flera år sedan, som hade kortare URL:er som var lättare att gissa”, sade de. ”URL:er som genererats på senare tid bör vara mycket svårare att gissa, men för att vara på den säkra sidan har jag gjort nyligen genererade URL:er ännu längre som svar på detta.”
De tror att de som är i riskzonen sannolikt bara är användare som sparat sina chattloggar och de som sparats med webbadresser ”som är tillräckligt korta för att kunna gissas”, men upprepade att Omegle har gjort nygenererade webbadresser som är ännu längre ”för att vara på den säkra sidan i samband med detta.”
19 augusti 2016, 15:01: Den här historien har uppdaterats.