Fake «κουμπιά» log-in που δεν οδηγούν στο Facebook ή στο Gmail

Οι αμέτρητες παγίδες που απειλούν τα στοιχεία πρόσβασης και άλλες προσωπικές μας πληροφορίες

Πιθανότατα τα έχετε παρατηρήσει σε πολλές εφαρμογές και ιστότοπους, εικονικά κουμπιά πάνω στην οθόνη σας, που σάς προτρέπουν να συνδεθείτε με το λογαριασμό σας στο Google ή το Facebook.

Μερικές φορές, το log in απαιτείται για να μοιραστείτε αρχεία, φωτογραφίες ή μηνύματα ηλεκτρονικού ταχυδρομείου. Άλλες φορές για να χρησιμοποιήσετε το Google ή το Facebook ως έναν γρήγορο τρόπο για να συνδεθείτε σε κάποια άλλη εφαρμογή. 

«Ο δικός μου, απλός κανόνας είναι να μην τα πατάω», προειδοποιεί ο δημοσιογράφος τεχνολογίας της Washington Post, Geoffrey A. Fowler.

«Υπάρχουν πάρα πολλοί τρόποι με τους οποίους η χρήση αυτών των κουμπιών μπορεί να προκαλέσει διαρροή προσωπικών πληροφοριών ή να βοηθήσει τις μεγάλες τεχνολογικές εταιρείες να σας παρακολουθήσουν. Υπάρχουν κάποιες εξαιρέσεις όταν είναι χρήσιμες - αλλά ίσως εκπλαγείτε και το μετανιώσετε λίγο, αν δείτε πόσοι άσχετοι ιστότοποι έχουν πρόσβαση στα δεδομένα σας στο Google ή το Facebook.»

Τι μπορεί να πάει στραβά; 

Αυτόν τον μήνα, το Facebook προειδοποίησε ένα εκατομμύριο χρήστες του Facebook ότι οι λογαριασμοί τους ενδέχεται να έχουν παραβιαστεί από 400 κακόβουλες εφαρμογές που είχαν σχεδιαστεί για να τους εξαπατήσουν, ώστε να παραδώσουν τις πληροφορίες σύνδεσης στο Facebook. Οι εγκληματίες κατασκεύαζαν ψεύτικα κουμπιά σύνδεσης.

«Και θα ήθελα να μοιραστώ μια ιστορία ως προειδοποίηση: Ένας αναγνώστης της Washington Post μου έγραψε πρόσφατα για ένα κουμπί σύνδεσης της Google σε μια πύλη εργασίας που ονομάζεται iCIMS και έχει σχεδιαστεί - τουλάχιστον θεωρητικά - για να βοηθά τους ανθρώπους να ανεβάζουν τα βιογραφικά τους. Αποδεικνύεται ότι η χρήση του κατά λάθος παρέχει στον ιστότοπο πρόσβαση σε ολόκληρη τη συλλογή ψηφιακών αρχείων σας.»

Σε τι συμφωνήσατε;

Μπορεί να μην γνωρίζετε το όνομα iCIMS, αλλά πολλοί άνθρωποι που υποβάλλουν αίτηση για εργασία το γνωρίζουν: έχει 2,4 εκατομμύρια χρήστες και χρησιμοποιείται για προσλήψεις από εταιρείες όπως η Microsoft, η Uber, η UPS, η Target και η IBM. Ο ιστότοπος iCIMS για την υποβολή αιτήσεων εργασίας προσέφερε στην κόρη του αναγνώστη της The Post τη δυνατότητα να ανεβάσει το βιογραφικό της απευθείας από το Google Drive, την υπηρεσία ηλεκτρονικής αποθήκευσης.

Ακούγεται βολικό, αλλά όταν έκανε κλικ στο κουμπί Google Drive, εμφανίστηκε ένα μήνυμα: «Αυτό θα επιτρέψει στο iCIMS να έχει πρόσβαση και να κατεβάζει όλα τα αρχεία σας στο Google Drive».

«Πώς είναι δυνατόν;» θα αναρωτηθούν κάποιοι. Το Google Drive είναι μια δημοφιλής υπηρεσία αποθήκευσης στο Cloud όχι μόνο για έγγραφα αλλά και για τις φωτογραφίες, τα οικογενειακά βίντεο, τις φορολογικές δηλώσεις και άλλα. Άλλοι έχουν διαμαρτυρηθεί για την ίδια παραβίαση του απορρήτου στο Reddit και στα φόρουμ υποστήριξης της ίδιας της Google - και η Washington Post επιβεβαίωσε τις λεπτομέρειες, επαναλαμβάνοντας τη διαδικασία.

«Το iCIMS μου είπε ότι επί του παρόντος δεν ψάχνει στα άλλα αρχεία των υποψηφίων που ανεβάζουν βιογραφικά» παρατήρησε ο δημοσιογράφος της WP. «Η iCIMS δεν αποκτά πρόσβαση, δεν μεταφέρει, δεν αποθηκεύει ούτε επεξεργάζεται με άλλο τρόπο πρόσθετες πληροφορίες από τον λογαριασμό Google Drive του υποψηφίου, εκτός από το αρχείο που επιλέγει να ανεβάσει στην πλατφόρμα iCIMS», απάντησε μέσω ηλεκτρονικού ταχυδρομείου ο Al Smith, επικεφαλής τεχνολογίας της εταιρείας.

Το πρόβλημα όμως είναι ότι το iCIMS εξακολουθεί να σας ζητά να του δώσετε άδεια πρόσβασης σε όλα τα αρχεία σας στο Google υπογραμμίζει η WP. Ο Smith δήλωσε ότι αυτή είναι μια «τυπική σύνδεση που διαχειρίζεται η Google» και πως ήταν ο μόνος τρόπος για να μοιράζεστε αρχεία Drive όταν η iCIMS δημιούργησε την ιστοσελίδα της.

Ένας εκπρόσωπος της Google εξήγησε ότι οι χρήστες έχουν «επιλογή και έλεγχο» και πρέπει να κάνουν κλικ στο κουμπί συγκατάθεσης για τις λεπτομέρειες της κοινής χρήσης δεδομένων, σε ένα πλαίσιο διαλόγου για «άδεια πρόσβασης». Αλλά πόσοι άνθρωποι ξοδεύουν χρόνο για να διαβάσουν και να αφομοιώσουν αυτά τα ψιλά γράμματα;

Η Google έχει πολιτικές που υποτίθεται ότι πρέπει να ακολουθούν οι ιστότοποι και οι εφαρμογές, συμπεριλαμβανομένης της λήψης της ελάχιστης ποσότητας δεδομένων και της ανάρτησης των λεπτομεριών σχετικά με το τι κάνουν με αυτά. Η Google τονίζει ότι οι χρήστες μπορούν να της αναφέρουν τις άτακτες εφαρμογές - αλλά αυτό δεν είναι το ίδιο με τον εκ των προτέρων έλεγχο τους.

“Το iCIMS μου λέει ότι σύντομα σχεδιάζει να στραφεί σε μια νεότερη έκδοση του πρόσθετου Drive της Google, η οποία προσφέρει μια πιο περιορισμένη άδεια: "να βλέπετε, να επεξεργάζεστε, να δημιουργείτε και να διαγράφετε μόνο τα συγκεκριμένα αρχεία του Google Drive που χρησιμοποιείτε με αυτή την εφαρμογή". Η Google λέει ότι έχει διαθέσει ένα πιο αυστηρό plug-in κοινής χρήσης δεδομένων από το 2012.»

Αλλά το συμπέρασμα παραμένει το ίδιο: Όταν συνδέεστε με τη Google, κάνετε ένα άλμα πίστης ότι τα δεδομένα σας θα προστατεύονται.

Πότε είναι σωστό να χρησιμοποιείτε κουμπιά σύνδεσης;

Τα κουμπιά σύνδεσης δεν είναι απαραίτητα κακόβουλα. «Εάν πρόκειται για αξιόπιστη ιστοσελίδα ή υπηρεσία, τότε δεν έχετε να ανησυχείτε και πολύ», δήλωσε ο Bogdan Botezatu, διευθυντής έρευνας απειλών και αναφορών στην εταιρεία ασφάλειας Bitdefender.

Για παράδειγμα, ορισμένοι άνθρωποι συνδέονται στο Google για να παραχωρήσουν στην εφαρμογή τηλεδιάσκεψης Zoom πρόσβαση στο ημερολόγιό τους, κάνοντας τις κλήσεις να εμφανίζονται αυτόματα.

Αλλά υπάρχει και ένα άλλο ακανθώδες πρόβλημα: «Πώς ξέρεις πότε είναι αξιόπιστο και πότε όχι;» υπογράμμισε η Jen Caltrider, επικεφαλής του προγράμματος Privacy Not Included στη μη κερδοσκοπική Mozilla. «Είμαι ερευνήτρια για την προστασία της ιδιωτικής ζωής και μερικές φορές δεν είμαι 100% σίγουρη». Πολλές εταιρείες σήμερα αποκρύπτουν ότι στην πραγματικότητα ασχολούνται με την απορρόφηση των δεδομένων των ανθρώπων.

Και η Google έχει μια μακρά ιστορία αμφισβητήσιμης τάσης να μοιράζεται υπερβολικά πολλά δεδομένα. «Το 2018, ο συνάδελφός μου Doug MacMillan αποκάλυψε πώς εκατοντάδες εφαρμογές που ζητούσαν πρόσβαση σε ολόκληρο το περιεχόμενο του Gmail των ανθρώπων για να προσφέρουν υπηρεσίες όπως συγκρίσεις τιμών (...) Διαπίστωσε ότι οι εφαρμογές εκπαιδεύουν τους υπολογιστές τους και ακόμη και τους υπαλλήλους τους να διαβάζουν τα μηνύματα ηλεκτρονικού ταχυδρομείου των χρηστών.»

Το Facebook έχει μια ακόμη πιο τραγική ιστορία σε αυτό το θέμα. Η πλατφόρμα αναγκάστηκε να πληρώσει πρόστιμο ύψους 5 δισεκατομμυρίων δολαρίων το 2019, αφού η Ομοσπονδιακή Επιτροπή Εμπορίου διερεύνησε πώς επέτρεψε στην εταιρεία Cambridge Analytica να αποκτήσει πρόσβαση στα προσωπικά δεδομένα των χρηστών.

Υπάρχει και μια δεύτερη δημοφιλής χρήση για τα κουμπιά σύνδεσης. Επιτρέπουν στον υπάρχοντα λογαριασμό σας στο Google ή στο Facebook να χρησιμεύσει ως βολική αντικατάσταση σύνδεσης log-in κάπου αλλού. 

Μπορεί να επιλέξετε αυτό αντί να δημιουργήσετε ένα ακόμη όνομα χρήστη και κωδικό πρόσβασης για έναν νέο ιστότοπο ή μια νέα εφαρμογή.

«Το Facebook μου λέει ότι αυτό θα μπορούσε να είναι ασφαλέστερο από τη δημιουργία σύνδεσης με έναν κακό κωδικό πρόσβασης ή την επαναχρησιμοποίηση ενός κωδικού που έχω ήδη επιλέξει για μια άλλη εφαρμογή. Το Νο1 λάθος ασφαλείας που κάνουν οι άνθρωποι στο διαδίκτυο είναι η επαναχρησιμοποίηση κωδικών πρόσβασης σε διάφορες εφαρμογές και ιστότοπους. Ωστόσο, σπάνια επιλέγω να συνδεθώ με το Google ή το Facebook.»

«Πρώτον,  όπως αναγνώρισε πρόσφατα το Facebook - αυτά τα κουμπιά μπορεί να είναι κακόβολα τεχνάσματα για να υποκλέψουν τα σημαντικά στοιχεία σύνδεσης των ανθρώπων.

Δεύτερον, όποιος παραβιάσει το λογαριασμό σας στο Google ή το Facebook θα πάρει επίσης τα κλειδιά για να αποκτήσει πρόσβαση σε οποιονδήποτε από αυτούς τους υπόλοιπους ιστότοπους.

Τρίτον, η χρήση τους βοηθά τη Google και το Facebook να σας παρακολουθούν σε όλους τους ιστότοπους και τις εφαρμογές, ενημερώνοντάς τους για το πότε - και ενδεχομένως ακόμη και για το πώς τις χρησιμοποιείτε. (Είναι μέρος του τρόπου με τον οποίο το Facebook σας παρακολουθεί ακόμη και όταν δεν χρησιμοποιείτε το Facebook).»

Μια καλύτερη ιδέα για να απλοποιήσετε τον πονοκέφαλο του κωδικού πρόσβασης είναι να χρησιμοποιήσετε έναν διαχειριστή κωδικών πρόσβασης.

Ελέγξτε ποιες εφαρμογές έχουν πρόσβαση στο λογαριασμό σας στο Google και το Facebook

Τόσο η Google όσο και το Facebook σας επιτρέπουν να ελέγξετε σε ποιους ιστότοπους και εφαρμογές έχετε συνδεθεί. 

Είναι μια καλή ιδέα να κάνετε μια τακτική απογραφή και να διαγράψετε οτιδήποτε δεν μπορείτε πραγματικά να εμπιστευτείτε.

Για τη Google, συνδεθείτε στο λογαριασμό σας και, στη συνέχεια, ανοίξτε το κέντρο αδειών της Google. 

Παραθέτει όλες τις εφαρμογές τρίτων με πρόσβαση και τα μέρη που χρησιμοποιείτε τη σύνδεση Google και σας δίνει τη δυνατότητα να ανακαλέσετε την πρόσβαση.

Για το Facebook, συνδεθείτε στο λογαριασμό σας και βρείτε τις ρυθμίσεις εφαρμογών και ιστότοπων. 

Η πλατφόρμα ευτυχώς απενεργοποιεί αυτόματα τις συνδέσεις που δεν έχετε χρησιμοποιήσει μετά από 90 ημέρες, αλλά αξίζει να επανεξετάσετε τις επιλογές σας.

Με πληροφορίες από Washington Post