Nível actual (NSIP)
Perigoso
| Última Iteração: | Novembro de 2010 |
|---|
Iterações do Vigilis Detalhes
Técnicos Subscrever
o Vigilis Abolir o
Vigilis Equipa Apoios e
Patrocínios Imprensa Agradecimentos SugestõesAnálise ao grau de Privacidade Praticado no Facebook
Com o intuito de perceber qual é o grau de privacidade praticado
pelos Portugueses utilizadores do Facebook™, o Vigilis fez um
pequeno estudo que analisou um conjunto de perfis de Facebook de
forma a quantificar e identificar o tipo de informação revelada
pelos Portugueses no Facebook.
Foram recolhidos os seguintes tipos de informação (keywords
do Facebook):
- Informação base: Sex, Birthday, Interested In, Looking For, Political Views, Religion, Bio, Favorite Quotations, From, Born on, Studied, Lives in, Knows, Speaks, Married, Current City.
- Relações Pessoais: Relationship Status, Anniversary, Family, In a Relationship with.
- Relações Laborais: Employers, College, High School, University, Employer.
- Interesses Culturais: Intereses, Activities, Interests, Music, Books, Movies, Television, Other.
- Filosofia e Religião: Religious Views, Political Views, Favorite Quotes, People Who Inspire.
- Contactos: Website, Facebook, Emails,IM Screen Names, Mobile Phone, Other Phone, Address, Town, Zip, Neighborhood, Website.
Só por si este tipo de exposição de informação não é de todo
uma vulnerabilidade, ou pelo menos não representa uma risco directo.
Contudo, a mesma poderá ser utilizada para sustentar, catalisar ou
focalizar variadíssimos vectores de ataque.
Começando naturalmente pela vertente da Engenharia Social , que poderá
surgir na forma dos mais diversos scams (SPAM,
Instante Messaging, redes sociais,...) destinados por exemplo
a disseminar malware, ou outros vectores, puramente técnicos
podem ser igualmente sustentados pela informação em causa. Vejamos
por exemplo o estudo que Ron Bowes fez
para o apoiar no desenvolvimento de uma das ferramentas englobadas no
Nmap. Ron recolheu cerca de 100
milhões de perfis de facebook de forma a perceber quais eram os
os nomes próprios e apelidos mais utilizados. Desta forma
poderia focar a ferramenta de brute force que estava
a desenvolver.
Extrapolando este exemplo para um hipotético caso real, poderíamos
facilmente imaginar um atacante a criar uma lista de usernames
, através de umas pesquisas em redes sociais, para efectuar um ataque
a uma determinada organização. É de conhecimento geral que em muitos
casos é fácil estabelecer uma ligação entre o individuo e a sua
entidade patronal.
Obviamente que o conceito de privacidade, infelizmente ou felizmente, é definido por um contexto sócio-cultural. O que garante à partida que inúmeros utilizadores do Facebook argumentaram que a informação divulgada abertamente não é tido por eles como algo verdadeiramente privado. Mas a verdadeira questão prende-se com o facto de saber se essa tomada de posição é realmente consciente e verdadeiramente informada. Nomeadamente no que toca aos reais riscos e facilidade de execução dos ataques em causa.
Dado isto, o objectivo primordial deste pequeno estudo é convidar os Portugueses a reflectir sobre a seguinte pergunta:
Eu realmente sei o que significa revelar abertamente informação sobre mim?
- Perfis de Facebook Analisados: 78 320
- Nomes próprios pesquisados: 764 (lista de nomes próprios aceites pelo Estado Português)
- Características dos Perfis estudas: 47
Grupos de informação mais detectados (cardinalidade)
(Clique na imagem para aumentar)
Dez características mais detectadas (percentagens)
(Clique na imagem para aumentar)
Dez características mais detectadas (cardinalidade)
(Clique na imagem para aumentar)
Dez características mais detectadas, com interesse organizacional (cardinalidade)
(Clique na imagem para aumentar)