Veja como o Facebook pode expor suas informações e comportamentos sem seu conhecimento ou consentimento. 

     [English  version below (video included)]

Verifiquei uma questão de privacidade em um recurso (Ticker) do Facebook que permite qualquer pessoa perseguir você sem seu conhecimento ou consentimento. Esta não é uma vulnerabilidade de código, mas uma questão de privacidade nos fluxos de  processo do Facebook..

Talvez está seja uma nova estratégia para o Facebook. No entanto, na minha opinião,  este tipo de mudança vai contra o conhecimento e/ou consentimento do usuário.

Esta “Ferramenta – monitorar os outros”  começou a funcionar quando o Facebook lançou uma nova funcionalidade chamada Ticker. Esta nova funcionalidade (Ticker) não respeita as configurações de privacidade anteriores e agora seus comentários (updates), os amigos adicionados, likes e outros podem ser visto por (amigo *) qualquer pessoa sem a sua permissão. * Você realmente sabe me dizer se um amigo é real ou ele é perfil falso – clonado?

O que é o Ticker? (Https://www.facebook.com/help/ticker)

O Ticker, presente no lado direito da sua conta – página principal do Facebook, permite que você veja todas as atividades dos seus amigos em tempo real. Quando você passa o mouse sobre um item no Ticker, você pode ver a história completa e participar da conversa enquanto ela acontece. O Ticker se atualiza quando as histórias acontecem. Isto dá-lhe uma imagem mais completa do que seus amigos estão fazendo, e em tempo real.

Será que o Ticker muda as configurações de privacidade? (Https://www.facebook.com/help/?faq=140532576040937)

Resposta correta: YES! (Não para as configurações de privacidade, mas expõe o que você não gostaria – meu caso)

Confira uma demonstração ao vivo, onde um “romance” explica como funciona essa questão de privacidade (você pode usar qualquer navegador para reproduzi-lo).

“Romance”

 Descrição: Este é um cenário onde o seu comportamento on-line pode ser exposto sem o seu conhecimento através da nova ferramenta do Facebook chamada Ticker. Eu usei quatro perfis do Facebook para criar este POC (prova de conceito), onde uma mulher estava traindo seu marido por meio do  Facebook.

Sinopse: Um casal é um usuário do Facebook, cada um com seu próprio perfil. Um dia o marido encontrou a mulher adicionando seu ex-namorado como um amigo e começou a falar com ele. Depois do marido se tornar realmente irritado com isso, a esposa removeu o ex-namorado do  perfil dela.

A esposa também descobriu que todos os comentários (atualizações), Likes e amigos adicionados estavam disponíveis em seu Perfil (Parede – Wall) e visível para qualquer amigo dela. Ela então removeu todas as atualizações (updates) e bloqueou que novas  atualizações fossem publicadas, automaticamente em seu Perfil (Wall). Desta forma, seu marido, então, não poderia ser atualizado das suas ações da sua esposa.

Após o Facebook lançar esta nova ferramenta chamada Ticker, um amigo do casal (possui os dois como amigos) viu que as atualizações da esposa de seu amigo aparecem em tempo real no Ticker, e disse-lhe sua esposa adicionou novamente o ex-namorado e que estava conversando com ele, escrevendo em seu posts e vice-versa. O marido verificou o perfil da esposa, mas não encontrou nada lá. Seu amigo disse que esta nova ferramenta (Ticker) permite ver as atualizações de qualquer pessoa que esteja em sua lista de amigos, bem como os usuários que foram comentados pelos seus amigos.

O que está acontecendo? Como o marido não poderia ver nada (atualizações dela) no perfil da sua esposa, mas seu amigo pode ver tudo a partir desta coisa chamada Ticker?

Por que publiquei este vídeo?

Eu reportei esta questão de privacidade para o time de Segurança do Facebook há alguns meses e até agora não recebi nenhum retorno deles. Considerando que eu respeito alguns códigos de ética (que protegem a sociedade, comunidade e infra-estrutura.) Na minha visão e opinião, este novo recurso do Facebook vai completamente contra o desejo, conhecimento e consentimento dos usuários.

Precisamos compartilhar esta informação para que todos os usuários estejam cientes do risco, caso você também considere isto um risco para a sociedade e usuários.

Por favor, alguém poderia me indicar onde encontro a configuração de privacidade que me proteja contra isso? Como eu removo o Ticker e as minhas atualizações dele?  Desculpe-me, mas eu sou um grande usuário do Facebook e me preocupo com as minhas informações

I have checked a privacy issue in a Facebook feature that allows anyone to use Facebook´s Ticker to stalk you without your knowledge or consent. This is not a code vulnerability, but a privacy issue in a Facebook process model.

Maybe it could be a new Facebook strategy. However, in my opinion this is going against user’s knowledge or consent.

It started working when Facebook released a new Ticker feature. This new tool (Ticker) doesn´t respect your previous privacy settings and now your comments (updated), added friends, likes and all others can be seen from anyone (friend*) without your permission. *Do you really know if someone is your real friend or a fake profile?

What is ticker? (https://www.facebook.com/help/ticker)

Ticker, on the right-hand side of your account, lets you see all your friends’ activity in real-time. When you hover over an item on ticker, you can see the full story and join the conversation as it happens. Ticker updates itself as as stories happen. This gives you a more complete picture of what your friends are doing, right now.

Does ticker change privacy settings? ( https://www.facebook.com/help/?faq=140532576040937 )

Correct Answer: YES !!!

Check out a live demo, where a “novel” will explain how that privacy issue works (you can use any browser to reproduce it).

Novel

Description: This is a scenario where your online behavior can be exposed without your knowledge through Facebook’s new tool called Ticker. I have used four Facebook profiles to create this POC where a wife was cheating on her husband via Facebook.

Synopsis: This couple is a Facebook user, each one with their own profile. One day the husband found his wife adding her ex-boyfriend as a friend and talking to him. After him becoming really angry about it, she removed her ex-boyfriend from her profile. She found out that all comments (updates), likes and friends added in her profile were available to any Facebook friend, so she removed all updates and blocked the updates on her wall, so her husband could not be up to date of her actions.

After Facebook released this new tool called Ticker, a friend of the couple saw updates of his friend’s wife appearing by the Ticker, and told him his wife added her ex-boyfriend and was talking to him, writing in his posts and vice-versa. The husband then checked her profile but found nothing there. His friend said that this new tool allows him to see updates from anyone on his friends list.

What’s going on? How could the husband not see anything at her profile, but his friend sees it all from this new Ticker thing?

I reported that privacy issue to Facebook Secutiry team a few months ago and until now I haven’t heard anything from them. Considering I respect some code of ethics (that protect society, commonwealth and infrastructure.) I think it was going completely against users desires and worth to be shared with everyone.

Can someone point me to the privacy setting that protects from this? I´m a Heacy Facebook User

 ”The care with online privacy is a matter of social responsibility.”  (Novaes Neto, 2011)

Neto, N. N. (2011). The Internet as an experimental laboratory for behavior analysis. Master’s Thesis Postgraduate Program of Studies in Experimental Psychology: Behavior Analysis. 88 p. PUC-SP.

Thesis Advisor: Sergio Vasconcelos de Luna

Line of Research: Basic Processes in Behavior Analysis

ABSTRACT

The present research had as primary goals: 1) To present a proposal for experimental procedure involving the use of the Internet as a laboratory for analysis of human behavior. 2) To use an online chat environment  in order to assess whether users’ behavior of switching between chat rooms in a chat service can be influenced by the introduction or removal of a stimulus (CAPTCHA). A total of 700 users participated in an experimental design (three phases) to verify whether the manipulation of the CAPTCHA stimulus in stages 2 and 3 would affect users’ behavior as they enter the chat rooms. Two measures were employed to measure behavioral changes: a) number of times each user entered a chat room; and b) amount of time daily spent in the chat rooms for each user. It was hypothesised that for a considerable number of users, the removal of the CAPTCHA would increase the chances of switching to another chat room because of the elimination of the nuisance of answering the test. The results indicated that the pattern of behavior of users who entered the chat rooms was influenced by the effect of the manipulation of the CAPTCHA variable. However, the results were not significant enough to confirm the hypothesis. The measures employed to assess behavior changes were shown to be statistically significant when the CAPTCHA variable was reintroduced (Phase 3) to the participants after a 15-day period without the presence of the independent variable (Phase 2). This effect has shown that the reintroduction of CAPTCHA to the chain of gaining access to the room has significantly affected the behavioral pattern of the users group, as compared to the previous stages, indicating that the process of reintroducing VI had, in part, aversive properties. All the same, it is important to consider that it has not been possible to determine whether this effect was caused by the influence of the CAPTCHA stimulus or by the simple change of environment with the inclusion of another component and condition in the chain of gaining access to the room. Since more and more people are increasingly using the Internet, the study of this environment can make a strong contribution to the science of behavior analysis.

Key words: CAPTCHA, social network, aversive stimulus, online privacy, chat.

Presentation (portuguese)