18.08.2015 | 11:24

Adam Haertle

Twitter może ujawnić Twoje kontakty – szczególnie gdy nie masz na nim konta

Nie masz kont w serwisach społecznościowych, by lepiej chronić swoją prywatność? Nie zawsze działa to na Twoją korzyść. Jeśli nie masz konta na Twitterze, to można bez problemu poznać tożsamość części Twoich bliskich i znajomych.

Załóżmy, ze nie masz konta na Twitterze, Facebooku, Naszej Klasie, Instagramie czy Google+. Myślisz, że dzięki temu nikt nie dowie się, z kim utrzymujesz kontakty w sieci? Niestety jesteś w błędzie.

Sugerowani znajomi

Nasza prywatność w sieci niestety nie zawsze zależy od nas samych. Często jej naruszenie może być efektem niefrasobliwości osób z naszego otoczenia, które zbyt łatwo udostępniają swoje dane różnym serwisom internetowym – a wśród nich także informacje o nas. Przykładem niech będzie Twitter.

Autor bloga thecomputerperson opisuje ciekawy mechanizm Twittera, pozwalający na poznanie części kontaktów wybranej osoby tylko na podstawie wiedzy o jej adresie poczty elektronicznej. Okazuje się, że wystarczy założyć na Twitterze nowe konto powiązane z wybranym adresem email a następnie poprosić Twittera o pokazanie sugerowanych kontaktów, by zobaczyć, kto może znajdować się w gronie znajomych obcej osoby.

Jak to w ogóle jest możliwe?

Skąd Twitter zna znajomych osób, które nie mają na nim konta? Ich znajomi wcześniej zgodzili się na przesłanie Twitterowi swojej książki adresowej. To między innymi na jej podstawie Twitter proponuje konta znajomych. Wystarczy zatem, że kilka osób z grona znajomych wybranej osoby przesłało Twitterowi swoje listy kontaktów i na nich znalazł się adres email lub numer telefonu osoby, która konta na Twitterze nie ma. Gdy tylko spróbuje je założyć, zaraz zobaczy nowe proponowane kontakty, a wśród nich swoich znajomych. Przetestowaliśmy, działa – po podaniu jednego z naszych adresów na liście sugerowanych kontaktów zobaczyliśmy między innymi osoby, z którymi od czasu do czasu korespondujemy mimo iż nie potwierdziliśmy, że skrzynka należy do nas.

Sugestie od Twittera

Sugestie od Twittera

Mechanizm ten jest co prawda sporym naruszeniem prywatności, ale sam z siebie nie powoduje jeszcze problemu. Znajomi zgodzili się (mniej lub bardziej świadomie) na wysłanie swoich książek adresowych na serwery Twittera, zatem nie mamy na ich zachowanie wpływu. Czemu jednak Twitter pozwala na stworzenie konta powiązanego z cudzym adresem email?

Oczywiście Twitter prosi o potwierdzenie powiązania z konkretną skrzynką pocztową wysyłając na nią emaila z linkiem weryfikacyjnym, jednak sugestie znajomych pojawiają się zanim użytkownik potwierdzi, że jest posiadaczem tej skrzynki. Można zatem założyć konto Twittera podając dowolny adres poczty elektronicznej nie posiadając do niego dostępu. Ma to na celu zapewne szybsze wciągnięcie użytkownika z świat Twittera, zanim jeszcze zdecyduje się na kliknięcie w link potwierdzający podanie prawidłowego adresu.

Ograniczenia

Ten atak na prywatność ma oczywiście swoje ograniczenia. Po pierwsze na ujawnienie narażone są tylko kontakty z osobami, które mają już konto na Twitterze i przesłały na jego serwery swoje listy kontaktów. Po drugie Twitter stosuje wiele kryteriów doboru sugerowanych kontaktów, w tym także lokalizację geograficzną adresu IP użytkownika i nie mamy gwarancji, że wyświetlane sugestie pochodzą z cudzych list adresowych (chociaż najczęściej z list adresowych będą pochodziły konta o dużo mniejszej popularności, a z sugestii geograficznych konta oficjalne).

Co ciekawe by przeprowadzić atak wcale nie trzeba zakładać nowego konta – wystarczy zaktualizować adres email konta już istniejącego (choć w tym wypadku sugestie mogą pochodzić także z dotychczasowej listy kontaktów twitterowych istniejącego konta) i wejść na stronę

https://twitter.com/who_to_follow/suggestions

Jak zabezpieczyć się przed tym atakiem? Najprostszym rozwiązaniem jest zarejestrowanie konta Twittera powiązanego ze swoim podstawowym adresem email, co uniemożliwi jego rejestrację osobom postronnym (Twitter sprawdza, czy dane konto istnieje już w bazie). Sam fakt bycia ofiarą takiego ataku można łatwo zidentyfikować ponieważ na skrzynkę powinien dotrzeć taki email od Twittera:

Potwierdzenie od Twittera

Potwierdzenie od Twittera

Jeśli taką wiadomość dostaliście, mimo iż nie rejestrowaliście konta, to oznacza, że ktoś mógł już poznać część Waszej listy znajomych. Przynajmniej teraz o tym wiecie…

PS. Serdecznie pozdrawiamy osoby, które już wczoraj zdążyły tę sztuczkę przetestować na dwóch kontach naszej redakcji – dowiedzieliście się czegoś ciekawego? 

Powrót

Komentarze

  • 2015.08.18 12:09 dzek

    jeszcze ciekawsza rzecz – ludzie są tak bezdennie głupi (patrz: spam z „nagrodami z media markt” na FB – ludzie lekką reką podają na obcej stronie swoje hasło do FB), że po zobaczeniu maila rejestracyjnego co piąty pewnie kliknie przycisk potwierdzający ;)

    Odpowiedz
    • 2015.08.18 12:56 shit

      No i przesrane. Człowiek może nawet nie mieć konta w społecznościówkach a i tak jego prywatność zależy od takich gamoni jakimi są moi znajomi;/

      Odpowiedz
      • 2015.08.18 14:04 kez87

        Bez przesady.To jest rekonstrukcja na podstawie znajomych korzystających z ćwierkacza i nic ponadto. To,że te serwisy szpiegowskie założyły nam kartotekę wcale nie świadczy,że wiedzą o nas więcej niż te dane. Problemem jest co najwyżej to,że nasze dane,gromadzone bez naszej zgody dostępne są bardziej dla każdego.

        Absolutnie nie czyni to konieczności tworzenia konta w serwisach społecznościowych.Ja w każdym razie przed takim szantażem bym się nie uginał.

        Odpowiedz
        • 2015.08.18 16:57 shit

          Oczywiście masz racje, co nie zmienia faktu, że sporo ludzi to gamonie, którzy nie dbają o swoją prywatność. A mój poprzedni komentarz traktuj trochę z przymrużeniem oka:) Doskonale wiem, że obecnie nawet małe serwisy chcą wydrzeć jak najwięcej danych od swoich użytkowników, nie ma co popadać w paranoję, ale warto się zastanowić zanim klikniesz w „Połącz przez fb”. Podam prosty przykład. Usługa spotlike (spotkałem się z nią w neobusie oraz w restauracji) w zamian za dostęp do „darmowego wifi” po zalogowaniu przez fb, żąda dostępu do danych osobowych, maila, daty urodzenia oraz informacji o polubieniach. Trochę dużo, a wystarczy skorzystać z drugiej opcji i poprosić obsługę o hasło do usługi. Pytanie jednak ile osób nawet nie czyta jakich uprawnień żąda aplikacja przed kliknięciem Połącz.

          Odpowiedz
        • 2015.08.19 00:22 okfgiergioj

          Dude. :) Jasne z jednej strony.

          Z drugiej: nie o to chodzi. Chodzi o to, ze to samo masz na fb.
          'hej czy ktos sral z twojego konta? jesli tak to rozpoznaj swoich znajomych…’

          To wszystko. :)

          Odpowiedz
      • 2015.09.07 19:45 Paweł Nyczaj

        Wychodzi na to, że najlepiej jednak założyć sobie konto na Facebooku, Twitterze itp. Nawet nie musi być specjalnie aktywne, ale mamy je już zajęte dla siebie.

        Finalnym rozwiązaniem byłaby jednak rezygnacja przez społecznościówki z pobierania list kontaktów z serwisów mailowych. Na rozsądek znajomych na portalach społecznościowych lepiej nie liczyć. Niestety nie wszyscy czytają portale typu Z3S, Niebezpiecznik, Sekurak itp.

        Odpowiedz
  • 2015.08.18 12:30 k

    Jeżeli sugestie są po e-mailu, to aliasy powinny pomóc. Grupa osób, której przydzieliliśmy alias w sugestiach zobaczy siebie, a inni go nie znają.

    Odpowiedz
    • 2015.08.20 23:53 halo

      Które aliasy? Te googlowe, z plusem?
      One są tylko do tagowania w skrzynce gmail.
      Przecież każdy spammer, automat, itd. robi na tym string replace.

      No chyba, że chodzi o osobne adresy email i catch-all na domenie.
      To jest jedyna sensowna opcja.

      Odpowiedz
      • 2015.08.23 15:01 nie

        Normalne aliasy. Na normalnym koncie w domenie, za którą się płaci.

        Oczekujesz sensownej ochrony prywatności od darmowej skrzynki, i to w dodatku od Google? :]

        Odpowiedz
  • 2015.08.18 14:43 twojtyp

    Nie mam nigdzie w social media konta… Myślałam, że tak będzie bezpiecznie a tu klops!

    Odpowiedz
  • 2015.08.18 15:38 michal

    To samo robi Facebook. Nie mam tam konta, ale już lata temu dostawałem powiadomienia od osoby, z którą wymieniłem tylko 1 maila, że zaprasza mnie na Facebooka. W końcu się zirytowałem i napisałem maila w stylu „człowieku, nie znam Cię, nie zapraszaj mnie” na co on odpisał, że to nie on, tylko automat… Pogooglałem trochę i dowiedziałem się, że FB też skanuje skrzynki swoich użytkowników.

    Odpowiedz
    • 2015.08.18 19:26 a

      Dostałeś spam – zgłoś, gdzie trzeba :)

      Odpowiedz
    • 2015.08.19 14:24 b

      Też dawno temu z FB dostawałem podobne zaproszenie, ale ono „dla zachęty” zawierało jeszcze informację o innych osobach mających konta na FB. Co ciekawe, ze wszystkimi trzema miałem jakieś kontakty (z dwiema prywatne, z jedną służbowe – z użyciem innego adresu e-mail), a one między sobą nie.

      Odpowiedz
  • 2015.08.19 11:43 Ninja

    I dlatego aliasy są dobre.

    Odpowiedz
  • 2015.08.19 13:17 tajny

    Na Instagramie też tak jest? Bo ostatnio dostałem stamtąd wiadomość z linkiem do potwierdzenia założenia konta na mojego maila…

    Odpowiedz
  • 2015.08.19 16:04 ĄĘ

    Co do Fejsa:Facebook śledzi internautów bez ich wiedzy. Nawet jeśli nie mają konta w serwisie: http://serwisy.gazetaprawna.pl/nowe-technologie/artykuly/863079,facebook-sledzi-internautow-bez-ich-wiedzy-nawet-jesli-nie-maja-konta-w-serwisie.html

    LinkedIn jest nie lepszy. Pewnego dnia postanowiłem założyć na nim konto i zdecydowałem że powiążę je ze swoim hotmailem. Mój kardynalny błąd polegał na tym, że na tej samej sesji przeglądarki w dwóch oknach otwarty maiłem Linkedin (gdzie właśnie ustawiałem swój profil )i hotmaila gdzie czytałem maila z linkedIn(gdzie są kontakty). Ku mojemu osłupieniu (wtedy jeszcze wierzyłem w dbanie o moją prywatność przez dużą profesjonalną firmę ĄĘ = niezaglądanie tam gdzie nie zapraszałem) po krótkiej operacji zassania danych z okna hotmaila LinkedIn poinformował mnie że w celu umilenia mi życia i ułatwienia szukania znajomych zassał moje kontakty i poinformował kto jest już na LinkedIn (hotmail był powiązany z podstawowym kontem smartfona = wszystkie nr telefonu).
    Z Linked korzystam głównie na smartfonie i do reszty się wpieniłem kiedy wysłałem zaproszenie osobie potwierdziła mi że nie ma konta na LinkedIn – Apka na smartfona oraz SPAM z LinkedIn zachęca mnie abym zaprosił swoich znajomych co rusz podsyłając od 3 do 5 znajomych z moich kontaktów ale w ogóle nie informuje czy osoba ta ma już konto na LinkedIn – jedyne co mi pozostało to sprawdzić ręcznie czy znajomi bliżsi lub dalsi są na portalu i powysyłać im zaproszenia – dzięki temu mam teraz pewność że podpowiedzi LinkedIn to tylko nachalna zachęta do tego abym zareklamował ten serwis swoim znajomym – bynajmniej nie ma nic wspólnego z umilaniem życia i ułatwianiem szukania znajomych.
    Czasami tylko zastanawiam się co ten ĄĘ serwis zassał np czy wpisane daty urodzenia i zdjęcia – a wy jak myślicie?.
    Najlepszą reklamą byłoby wysyłanie maili nie do mnie a do znajomych z tekstem:

    Załóż konto na LinkedIn bo twoje dane już tam są.

    A posiadaczom kont na portalach społecznościowych polecam trzymanie tego ĄĘ w sandboxach w oddzielnych sesjach najlepiej w trybie prywatnym, który po zamknięciu sesji czyści dane ( vide link dot. Facebooka na wstępie

    Odpowiedz
  • 2017.06.04 20:22 Stanisław

    Witam,dlaczego codziennie jest blokowanie mojego konta na twitterze,mam problem nie znajomoscią języka,kodu weryfikacyjnego,zaczęło to śię od czasu,jak wróćiłem z zagranicy,przedtem było OK,co można zrobić?,czy kod może być przesyłany w formie pisemnnej…
    z poważaniem Staniasław

    Odpowiedz

Zostaw odpowiedź do Pablo_Wawa

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Twitter może ujawnić Twoje kontakty – szczególnie gdy nie masz na nim konta

Komentarze