En advarsel til folk, der anonymt chatter med fremmede på internettet: Ikke alle steder er så private.
Ifølge sikkerhedsforsker Indrajeet Bhuyan er Omegle – et gratis online chat-site, hvor fremmede tilfældigt parres sammen til chat-sessioner én-til-én – “ikke så anonymt, som det hævdes”.
Alle chatlogs gemmes på Omegles server, efter at en bruger har afsluttet en samtale, siger Bhuyan i en e-mail.
“Når en bruger afbryder sin chat, gemmer Omegle hele chatloggen permanent på deres server,” siger Bhuyan.
I Omegles privatlivspolitik står der, at “Chatbeskeder screenes af et automatiseret system for spam. Generelt gemmes beskederne ikke, men beskeder, der er markeret som mistænkelige, kan gemmes på ubestemt tid, og udvalgte beskeder kan blive læst af et menneske for at forbedre Omegles antispam-software eller til andre kvalitetskontrolformål.”
Omegle fortsætter med at bemærke, at når du starter en chat, registreres tidsstempel, IP-adresse, ID-cookie “og lignende oplysninger for dig og din chatpartner” og kan bruges til at spore spammere, hackere og andre potentielle cyberspace-forbrydere samt til “retshåndhævelsesformål” eller til at udarbejde statistiske data. Alle disse data gemmes “typisk” i ca. 120 dage.
Problemet her er ikke, at Omegle hævder, at de ikke optager chats på deres platform – de oplyser lige i deres privatlivspolitik, at de indsamler en hel masse oplysninger om deres brugere og, baseret på det “typisk”, der er smidt ind der, i det væsentlige kan holde på alle disse data så længe, som de ønsker det. Problemet er, at Omegle markedsføres som et sted med frivillig anonymitet, hvor brugerne kan udvikle et online-kammeratskab med fremmede – og medmindre du læser privatlivspolitikken igennem, er du sandsynligvis uvidende om, at din chat bliver registreret fra starten.
“Folk på Omegle tror ofte, at deres chats er private, og chats bliver slettet, når de afbryder forbindelsen til samtalen,” siger Bhuyan. “På grund af denne falske følelse af sikkerhed deler folk ofte følsomme oplysninger på den.”
Det er næsten øjeblikkeligt at starte en chat, og medmindre en bruger læser siden om privatlivspolitik forud for en chat, er der ingen indikation af, at dine oplysninger gemmes. Og alle disse følsomme oplysninger er modtagelige for hackere, hvilket betyder, at disse private samtaler kan havne i de forkerte hænder og blive meget offentlige. Som Hacker News rapporterede, kræver disse optagede samtaler “lidt kendskab til hacking” for at få adgang, idet Bhuyans python-script, Omegle-Chat-Hack, blev citeret som bevis for, at nogen uden for Omegle kan downloade brugernes samtaler.
En Omegle-talsmand sagde i en e-mail, at de tror, at Bhuyans hack var muligt ved at gætte URL’en på en chatlog – en tilfældig sekvens af bogstaver og tal – som en bruger har gemt.
“I praksis er det mest et problem for chatlogs, som brugerne gemte for mange år siden, som havde kortere URL’er, der var lettere at gætte,” sagde de. “URL’er, der er genereret for nyere tid siden, burde være meget sværere at gætte, men for at være på den sikre side har jeg gjort nyligt genererede URL’er endnu længere som reaktion på dette.”
De mener, at de udsatte sandsynligvis kun er brugere, der har gemt deres chatlogs og dem, der er gemt med URL’er, “der er korte nok til at kunne gættes”, men gentog, at Omegle har lavet nygenererede URL’er, der er endnu længere “for at være på den sikre side med dette.”
19. august 2016, kl. 15.01: Denne historie er blevet opdateret.