Forskere invaderede for nylig Facebook med 102 sociale bots. De fik 3.055 venner på otte uger, hvilket gav dem adgang til 1.085.785 profiler og gav dem mulighed for at skrabe 250 GB personlige data.
Fire forskere, Yazan Boshmaf, Ildar Muslukhov, Konstantin, Beznosov og Matei Ripeanu, hævder, at Facebooks sikkerhedssystemer "ikke er effektive nok" til at stoppe automatiseret identitetstyveri. Deres 10-siders papir med titlen "Socialbot-netværket: Når bots socialiserer for berømmelse og penge", beskriver, hvordan de formåede at indsamle private data fra tusindvis af Facebook-brugere ved at udnytte socialbots. Papiret er planlagt til at blive præsenteret på næste måneds årlige computersikkerhedsapplikationskonference (ACSAC) i Orlando, Florida.
Her er abstraktet:
Online sociale netværk (OSN'er) er blevet en integreret del af nutidens web. Politikere, berømtheder, revolutionære og andre bruger OSN'er som et podium til at levere deres budskab til millioner af aktive webbrugere. Desværre, i de forkerte hænder, kan OSN'er bruges til at køre astroturf-kampagner for at sprede misinformation og propaganda. Sådanne kampagner starter normalt med at infiltrere et målrettet OSN i stor skala. I dette papir evaluerer vi, hvor sårbare OSN'er er over for en storstilet infiltration af sociale bots: computerprogrammer, der kontrollerer OSN-konti og efterligner rigtige brugere. Vi anvender et traditionelt webbaseret botnet-design og byggede et Socialbot Network (SbN): en gruppe af adaptive socialbots, der er orkestreret på en kommando-og-kontrol måde.
Vi drev et sådant SbN på Facebook – en OSN med 750 millioner brugere – i omkring 8 uger. Vi indsamlede data relateret til brugernes adfærd som reaktion på en storstilet infiltration, hvor socialbots blev brugt til at oprette forbindelse til et stort antal Facebook-brugere. Vores resultater viser, at (1) OSN'er, såsom Facebook, kan infiltreres med en succesrate på op til 80 %, (2) afhængigt af brugernes privatlivsindstillinger, en vellykket infiltration kan resultere i brud på privatlivets fred, hvor endnu flere brugeres data afsløres sammenlignet med en rent offentlig adgang, og (3) i praksis er OSN-sikkerhedsforsvar, såsom Facebook-immunsystemet, ikke effektive nok til at opdage eller stoppe en storstilet infiltration, da det opstår.
Jeg skrev kort om deres resultater i sidste måned i et indlæg om Facebooks immunsystem (FIS):
Forskere ved University of British Columbia i Vancouver, Canada, brugte for nylig 102 socialbots til at få tilsammen 3.000 venner på otte uger. Botterne startede med at sende venneanmodninger til tilfældige brugere, hvoraf 20 procent accepterede, og derefter til deres fælles venner, hvilket resulterede i, at acceptraten hoppede til næsten 60 procent. Et sådant angreb betyder, at det er ligegyldigt, om brugere skjuler deres personlige oplysninger fra offentligheden, så længe de lader deres venner have synlighed. De sociale bots formåede således at udtrække omkring 46.500 e-mailadresser og 14.500 fysiske adresser fra brugernes profiler.
Nu hvor papiret er tilgængeligt, er der dog kommet mange flere detaljer frem. Først og fremmest, lad os starte med at definere en socialbot: det er et stykke software, der styrer et socialt netværk konto og forsøger at opføre sig som et menneske ved at udføre grundlæggende opgaver såsom at sende beskeder og få venner anmodninger.
Selvom FIS burde være i stand til at stoppe den automatiske oprettelse af sådanne konti, brugte forskerne online tjenester til at bryde CAPTCHA'er og udfylde deres falske konti profilbilleder med attraktive billeder fra Sej eller ej. De genererede også falske Facebook-statusopdateringer ved hjælp af en API leveret af iheartquotes.com.
Forskerne advarer om, at socialbots ikke kun kan infiltrere vennenetværk for at høste personlige oplysninger som f.eks e-mailadresser og telefonnumre, men de kan også bruges til at sprede misinformation og propaganda for at påvirke andre. Mange socialbots, der arbejder sammen, kan danne et SbN, der nemt kan kontrolleres af kun én person.
Forskernes SbN, der bestod af 102 socialbots og en enkelt botmaster. På otte uger fremsatte SbN 8.570 venneanmodninger, hvoraf 3.055 blev accepteret. Dets udvidede netværk udgjorde i alt 1.085.785 profiler (nogle brugere tillader, at deres profiler kan ses af venners venner).
Hver gang en socialbot med succes blev venner med én person, ville de også forsøge at blive Facebook-venner med denne persons venner. Efterhånden som de blev mere integreret i vennenetværk, nåede acceptgraden af venneanmodninger op på 60 procent. Stigningen skyldtes, hvad forskerne kaldte det "triadiske lukkeprincip", som hævder, at hvis to brugere har en fælles ven til fælles, de er tre gange mere tilbøjelige til at acceptere en venneanmodning. Ikke overraskende, jo flere venner en given Facebook-bruger havde, jo mere sandsynligt er det, at de accepterer en venneanmodning fra en socialbot.
Forskerne var i stand til at indsamle 35 procent af alle de personligt identificerbare oplysninger, der blev fundet på deres direkte netværk, og 24 procent fra udvidede netværk. Alle disse profiloplysninger blev registreret, inklusive 46.500 e-mail-adresser og 14.500 hjemmeadresser. I gennemsnit indsamlede hver socialbot 175 nye "bidder" af offentligt utilgængelige brugeres data om dagen.
Forskerne opdagede, at FIS kun blokerede 20 procent af de konti, der blev brugt af socialbots, og at det kun gjorde det, fordi mistænkelige brugere markerede konti. "Faktisk observerede vi ingen beviser for, at FIS opdagede, hvad der virkelig foregik udover at stole på brugernes feedback, som ser ud til at være en væsentlig, men potentielt farlig komponent i FIS," forskerne skrev.
Efter at perioden på otte uger var slut, demonterede forskerne frivilligt SbN. Det gjorde de ikke, fordi Facebooks sikkerhedsteam opdagede det, men på grund af mængden af internettrafik, det havde genereret: cirka 250 GB indgående og 3 GB udgående.
Facebook sagde på sin side, at socialbots' resultater var urealistisk vellykkede, fordi forskerne brugte en betroet universitets IP-adresse. Virksomheden hævdede endvidere, at dets optegnelser viste en højere succesrate for FIS end den, forskerne havde givet, selvom der ikke blev givet noget tal.
"Vi har adskillige systemer designet til at opdage falske konti og forhindre skrabning af information," sagde en talsmand for Facebook i en erklæring. "Vi opdaterer konstant disse systemer for at forbedre deres effektivitet og imødegå nye former for angreb. Vi bruger troværdig forskning som en del af den proces. Vi har alvorlige betænkeligheder ved metoden for forskningen ved University of British Columbia, og vi vil give dem disse bekymringer. Derudover opfordrer vi som altid folk til kun at oprette forbindelse til personer, de rent faktisk kender, og rapportere enhver mistænkelig adfærd, de observerer på siden."
Se også:
- Facebooks immunsystem kontrollerer 25 milliarder handlinger hver dag
- Facebook samarbejder med Websense for at scanne URL'er for malware
- Facebooks administrerende direktør Mark Zuckerberg: spamming-apps er haltende
- Sagsøgt af Facebook, Spam King overgiver sig til FBI
- Facebook forbyder 20.000 konti dagligt