CALL FOR PAPERS
Workshop on Privacy and Security in Online Social Media (PSOSM) http://precog.iiitd.edu.in/psosm_www2012/ Co-located with 21st International World Wide Web Conference Lyon, France April 16 – 20, 2012
With increase in usage of the Internet, there has been an exponential increase in the use of online social media on the Internet. Websites like Facebook, YouTube, Orkut, Twitter and Flickr have changed the way Internet is being used. There is a dire need to investigate, study and characterize privacy and security of online social media from various perspectives (computational, cultural, psychological). Real world scalable systems need to be built to detect and defend security and privacy issues on online social media. The main goals of the workshop are: (1) To create a platform to discuss latest issues, trends, and cutting-edge research approaches in security and privacy in online social media; (2) to bring researchers who are working on issues related to security and privacy on the Internet, and those studying online social media, to discuss the problems that overlap and bring these two areas together.
Topics / themes include, but not limited to the following: - Information privacy disclosure, revelation and its effects in online social networks - Collateral damage due to information leakage (e.g. through photo tagging) on OSM - Privacy issues related to location based services on OSM - Effective and usable privacy setting and policies on OSM - Anonymization of social network datasets - Detection and characterization of spam, phishing, frauds, hate crime, abuse, extremism via online social media - Cyber-bullying, abuse and harassment detection, and prevention strategies - Identifying and curbing malware, phishing, and botnets on OSM - Filtering of pornography, viruses, and human trafficking related content or entities on OSM - Studying the social and economic impact of security and privacy issues on OSM - Usability (including design flaws) of secure systems on online social media - Data modeling of human behavior in context of security and privacy threats - Privacy and security issues in social gaming applications - Trust systems based on social networks - Legal and ethical issues for researchers studying security and privacy on OSM - Information credibility on online social media - Security and privacy challenges in new entrants in OSM (e.g. Google Plus) - Effect of OSM on conventional crime (robberies and theft)
Important dates Abstract submission: February 20th, 2012 Manuscripts due: February 23rd, 2012 Notification of acceptance: March 8th, 2012 Final revised manuscript: April 5th, 2012 Workshop: April 17th, 2012 (Full day)
Workshop chairs - Prof. Ponnurangam Kumaraguru, pk [at] iiitd [dot] ac [dot] in - Prof. Virgilo Almeida
The two experiments (Proof of Concept – Research Study) were presented at the Conference Silver Bullet. Both were used with the sole purpose of POC to demonstrate the fragility and privacy issues in the use of social networks. No information, interactions or any other private information from users have been copied. This is not a code vulnerability or Facebook’s problem.
Original Source (Portuguese version): http://tecnologia.uol.com.br/ultimas-noticias/redacao/2011/11/16/e-possivel-ficar-amigo-de-qualquer-um-no-facebook-em-ate-24-horas-alerta-especialista.jhtm
Most people have spent a great deal of their time cultivating their tens (of perhaps hundreds) of relationships that make up their contact list on Facebook. One theory, however, puts on permanent alert the premise of social networks: it is possible to befriend almost anyone on Facebook in less than 24 hours.
Figure 1 The researcher used as target a security specialist and her manager for the experiment
The technique is unusual and totally contrary to the terms of use of Facebook, but shows exactly how users can be manipulated. To prove his theory, the researcher in the field of online security and behavior Nelson Novaes has created an experiment through which he intended to befriend on Facebook a girl who worked with web security. For the purpose of the study, she was named SecGirl. The purpose of this experiment was to add SecGirl as a friend on Facebook in less than 24 hours. The result came earlier than expected: the specialist has managed to add SecGirl to his contact list in seven and a half hours.
To get closer to SecGirl, Novaes literally cloned the profile of someone very close to the girl: her manager. Using the clone profile, Novaes began to request the friendship from friends of friends of the manager. In just one hour, 24 of the 432 requests were accepted. The remarkable thing is that 96% of the people that accepted the friendship request had already added the true owner of the profile to their contact list (that is: they added the same person twice to their list, unaware of the false profile).
In the next hour, the researcher devoted himself to request the friendship from direct friends of the manager. Of the 436 requests, 14 people accepted the request made by the false profile – again, all these persons had already added the original profile to their contact lists and yet added the clone profile. In just over two hours, the manager accepted the friendship request made by the profile cloned by Novaes.
This fact would be crucial tor SecGirl’s decision of adding the profile cloned as friend seven and a half hours after the beginning of the experiment. The logic is as follows: if a user has so many mutual friends, you should befriend him/her – or else, he/she is somewhat part of your circle of friends, not a complete stranger. Therefore, you decide to add this person to your Facebook profile and he/she can access information that cannot be accessed by other people.
“People have simply ignored the threat posed by adding a profile without checking if this profile is true. New Technologies have loopholes, but it is up to the users to be aware of this type of flaw. Social networks can be fantastic, but people make mistakes. Privacy is a matter of social responsibility. There is no solution. We must make good use of the social network and we are alone in this task”, said Nelson Novaes to UOL Tecnologia.
Facebook and infidelity
The experiment has also revealed what Novaes considers a serious failure of privacy on Facebook. According to the researcher, the recent tool “Ticker” (currently available to only a few Facebook users), which displays updates from contacts in real time in the upper right corner, reveals more than the user expects, such as signs of infidelity. And such information cannot be excluded.
To prove his theory, Novaes created three fictitious profiles: one profile of a woman, another one of her husband and the third profile was of a mutual friend. The experiment, reproduced on video and posted on YouTube, shows that, even after the woman has chosen not to disclose the update notifications to anyone, not even to her husband, their mutual friend could see these notifications in real time in the “Ticker” (the profile of the woman’s husband does not have the “Ticker” enabled).
In the referred example, the woman would rather not tell her husband that she confirmed a friendship request from an ex-boyfriend, but such information is revealed to the mutual friend, who can see the confirmation in the “Ticker”.
“I don’t know if this is a failure or something intentionally done by Facebook. The fact is, by creating a Facebook account, the user automatically agrees with the terms and conditions established by Facebook, and these rules are subject to change at any time”, concludes Novaes, talking about the way Facebook works.
The researcher has contacted the social network’s administrators, but obtained no response concerning the “Ticker”.
More news about:
(BR) É possível ficar amigo de qualquer um no Facebook em até 24 horas, alerta especialista + Silver Buller Conference
Learn how you can remove the Facebook Ticker! #FAIL
(BR) Como remover o Ticker do meu Facebook?
Facebook´s Ticker: a powerful tool against your privacy
Facebook testing ‘Trusted Friends’ feature, the password unlock we hope you never have to use
How Facebook Ticker exposing your information and behavior without your knowledge
(BR) Nova função do Facebook ignora privacidade e expõe usuário
I hope so: Mark Zuckerberg admits “a bunch of mistakes” on Facebook blog and says company is “committed to being transparent.”
SBConference – Presentation (BR small version):
Title: Can I be your friend? – How Amazon, LinkedIn and the “new” Facebook privacy issues can help me become your friend. A Behavioral Psychology and Security view of social networks.
Abstract: I discuss issues related to privacy, behavioral psychology and security in social networks. Social networks such as LinkedIn, Facebook and Twitter are often used by individuals to communicate both in a personal and in a professional level. I explore problems that arise when those lines are crossed. I also discuss how interactions in social networks can be harmful to professionals as they might expose intentions of career moves. Such interactions can also be damaging for the enterprises involved as they might reveal strategic decisions. (in Portuguese)
Educação, privacidade e segurança: assuntos da Silver Bullet em slide do especialista Nelson Novaes (Foto: Altieres Rohr/Especial para o G1)
É possível ficar amigo de qualquer um no Facebook em até 24 horas, alerta especialista
A maioria das pessoas passou praticamente a vida toda cultivando as dezenas (quiçá centenas) de amizades que hoje compõem sua lista de contato no Facebook. Uma teoria, no entanto, coloca a premissa das redes sociais em permanente alerta: em menos de 24 horas é possível ser aceito como amigo de praticamente qualquer pessoa no Facebook
Facebook e infidelidade
O experimento também revelou o que Novaes classifica como uma falha grave de privacidade no Facebook. Segundo o pesquisador, a recente ferramenta “Ticker” (ainda limitada a alguns usuários), que exibe as atualizações dos contatos em tempo real no canto superior direito, mostra além do que o usuário gostaria de expor, como indícios de infidelidade. E essas informações não podem ser excluídas.
Matéria completa em: http://tecnologia.uol.com.br/ultimas-noticias/redacao/2011/11/16/e-possivel-ficar-amigo-de-qualquer-um-no-facebook-em-ate-24-horas-alerta-especialista.jhtm
Enquanto muitos deixavam a cidade de São Paulo para aproveitar o feriado prolongado, cerca de 250 profissionais de segurança se encontravam para a realização da primeira edição da conferência “Silver Bullet” (“SB”, bala de prata, em inglês). As palestras discutiram desde a história da cena de segurança no Brasil até os desenvolvimentos mais recentes em segurança nas compras de cartão de crédito, educação do usuário e códigos maliciosos.
Matéria completa em: http://g1.globo.com/tecnologia/noticia/2011/11/durante-o-feriado-profissionais-discutem-seguranca-na-silver-bullet.html
Video apresentado na SBConference (com legenda)
A lot of people have asked me how to remove the Facebook Ticker.
Note 1: Since you’ve selected “Unsubscribe” to all your friends, your information and behaviors will continue to be send to the Ticker. With this action you will not receive updates from your friends, but everyone will know what you’re doing. The “unsubscribe” does not resolve the Ticker privacy issues.
Note 2: If you are using any Firefox or Chrome extensions to remove the ticker, for example: Facebook News Ticker Remove, you will only remove the display of the Ticker updates in your browser. All “information” about you will continue to be published without your knowledge.
OK, you can remove the Ticker from your eyes, anyway: what the eyes don’t see, the mind imagines three times worse (what the eyes don’t see, the heart doesn’t grieve over)
Attention: Several people in the world don’t have this (Ticker) new feature enabled. Even if you don’t have it, be careful, because your information is being disclosed to those who have the Ticker enabled
Read more about the Ticker privacy Issues at the original post: Facebook´s Ticker: a powerful tool against your privacy
ATENÇÃO: Você pode remover o Ticker dos seus olhos, mas não esconder dele o que você faz.
Várias pessoas me perguntam como remover o Ticker do seu Facebook. (várias pessoas no Brasil ainda não estão com esta nova funcionalidade ativada. Mesmo que você não a tenha, cuidado, suas informações estão sendo divulgadas para quem tem o Ticker.
Seguem alguns cuidados:
Mesmo que você selecione “Unsubscribe” para todos os seus amigos, suas informações e comportamentos continuarão no Ticker. Com esta ação você não receberá as atualizações dos seus amigos, mas todos saberão o que você está fazendo. O “Unsubscribe” não resolve o problema de privacidade do Ticker.
Se você utilizar as extensões do Chrome ou Firefox para remover o Ticker, por exemplo: Facebook News Ticker Remover, você removerá apenas a exibição das atualizações do Ticker no seu navegador. Todas as suas informações continuarão a serem publicadas sem seu conhecimento.
OK, você pode remover o incomodo do Ticker dos seus olhos, afinal: o que os olhos não veem, a mente imagina de um jeito três vezes pior
Detalhes do funcionamento do Ticker e como ele divulga todas as suas “informações”: http://www.psyzone.org/?p=619
“O recurso Ticker, aquela barra lateral direita do Facebook que mostra em tempo real tudo que seus amigos fazem ou deixam de fazer, é uma ameaça à privacidade dos usuários do site” - http://idgnow.uol.com.br/internet/2011/11/02/novo-recurso-do-facebook-entrega-ate-infidelidade-diz-especialista/
Title: A Career in Web Operations – Theo Schlossnagle @postwait (OmniTI)
Security: is a state of mind; it is a state of being; it is a mentality #velocity
Source: http://velocityconf.com/velocityeu/public/schedule/detail/21785
#velocityconf
Speakers: Nelson Novaes Neto
Date: 12 Nov. 2011
Conference: Silver Bullet will bring together well-known professionals, enthusiasts and beginners in all things related to information security. Two tracks covering, but not limited to, technology (building and breaking), development, management, social aspects and others.
Site: http://www.sbconference.com.br/
[English version below (video included)]
Verifiquei uma questão de privacidade em um recurso (Ticker) do Facebook que permite qualquer pessoa perseguir você sem seu conhecimento ou consentimento. Esta não é uma vulnerabilidade de código, mas uma questão de privacidade nos fluxos de processo do Facebook..
Talvez está seja uma nova estratégia para o Facebook. No entanto, na minha opinião, este tipo de mudança vai contra o conhecimento e/ou consentimento do usuário.
Esta “Ferramenta – monitorar os outros” começou a funcionar quando o Facebook lançou uma nova funcionalidade chamada Ticker. Esta nova funcionalidade (Ticker) não respeita as configurações de privacidade anteriores e agora seus comentários (updates), os amigos adicionados, likes e outros podem ser visto por (amigo *) qualquer pessoa sem a sua permissão. * Você realmente sabe me dizer se um amigo é real ou ele é perfil falso – clonado?
O que é o Ticker? (Https://www.facebook.com/help/ticker)
O Ticker, presente no lado direito da sua conta – página principal do Facebook, permite que você veja todas as atividades dos seus amigos em tempo real. Quando você passa o mouse sobre um item no Ticker, você pode ver a história completa e participar da conversa enquanto ela acontece. O Ticker se atualiza quando as histórias acontecem. Isto dá-lhe uma imagem mais completa do que seus amigos estão fazendo, e em tempo real.
Será que o Ticker muda as configurações de privacidade? (Https://www.facebook.com/help/?faq=140532576040937)
Resposta correta: YES! (Não para as configurações de privacidade, mas expõe o que você não gostaria – meu caso)
Confira uma demonstração ao vivo, onde um “romance” explica como funciona essa questão de privacidade (você pode usar qualquer navegador para reproduzi-lo).
“Romance”
Descrição: Este é um cenário onde o seu comportamento on-line pode ser exposto sem o seu conhecimento através da nova ferramenta do Facebook chamada Ticker. Eu usei quatro perfis do Facebook para criar este POC (prova de conceito), onde uma mulher estava traindo seu marido por meio do Facebook.
Sinopse: Um casal é um usuário do Facebook, cada um com seu próprio perfil. Um dia o marido encontrou a mulher adicionando seu ex-namorado como um amigo e começou a falar com ele. Depois do marido se tornar realmente irritado com isso, a esposa removeu o ex-namorado do perfil dela.
A esposa também descobriu que todos os comentários (atualizações), Likes e amigos adicionados estavam disponíveis em seu Perfil (Parede – Wall) e visível para qualquer amigo dela. Ela então removeu todas as atualizações (updates) e bloqueou que novas atualizações fossem publicadas, automaticamente em seu Perfil (Wall). Desta forma, seu marido, então, não poderia ser atualizado das suas ações da sua esposa.
Após o Facebook lançar esta nova ferramenta chamada Ticker, um amigo do casal (possui os dois como amigos) viu que as atualizações da esposa de seu amigo aparecem em tempo real no Ticker, e disse-lhe sua esposa adicionou novamente o ex-namorado e que estava conversando com ele, escrevendo em seu posts e vice-versa. O marido verificou o perfil da esposa, mas não encontrou nada lá. Seu amigo disse que esta nova ferramenta (Ticker) permite ver as atualizações de qualquer pessoa que esteja em sua lista de amigos, bem como os usuários que foram comentados pelos seus amigos.
O que está acontecendo? Como o marido não poderia ver nada (atualizações dela) no perfil da sua esposa, mas seu amigo pode ver tudo a partir desta coisa chamada Ticker?
Por que publiquei este vídeo?
Eu reportei esta questão de privacidade para o time de Segurança do Facebook há alguns meses e até agora não recebi nenhum retorno deles. Considerando que eu respeito alguns códigos de ética (que protegem a sociedade, comunidade e infra-estrutura.) Na minha visão e opinião, este novo recurso do Facebook vai completamente contra o desejo, conhecimento e consentimento dos usuários.
Precisamos compartilhar esta informação para que todos os usuários estejam cientes do risco, caso você também considere isto um risco para a sociedade e usuários.
Por favor, alguém poderia me indicar onde encontro a configuração de privacidade que me proteja contra isso? Como eu removo o Ticker e as minhas atualizações dele? Desculpe-me, mas eu sou um grande usuário do Facebook e me preocupo com as minhas informações
