- For lett å forfalske Facebook-profiler

Avslørte sikkerhetsbrist ved å bli Googles toppsjef på Facebook.

Publisert Sist oppdatert

Teknologiskribent Michael Arrington mottok en epost fra en leser, som hadde opplevd å få opprettet en falsk Facebook-profil i sitt navn.

Dette virket for enkelt å gjennomføre, mente Arrington, som for å teste ut dette skapte en falsk profil for Googles toppsjef Eric Schmidt i helgen. Selv om profilen ifølge Arrington selv ikke virket særlig troverdig startet venneforespørslene å renne inn etter at noen få prominente personer, som Youtube-skaper Chad Hurley og Facebooks visepresident Elliot Schrage, hadde akseptert "Schmidt" som venn.

- Det er faktisk veldig lett, for lett, å gjøre dette, skriver Arrington selv i et innlegg på Techcrunch.com, hvor han avslører hele svindelen.

Trenger ikke verifisere

Alt man trenger er nemlig en epostadresse som tidligere ikke er knyttet til det sosiale nettverket. Arrington brukte Schmidts virkelige epostadresse, og fikk dermed opp flere forslag til potensielle venner straks han benyttet den for å melde seg inn på Facebook.

Han ble tidlig i prosessen bedt om å verifisere adressen, men selv uten å bekrefte denne er det mulig å bli venner med folk, like statusoppdateringer og sende og motta meldinger.

En verifiseringsmail sendes automatisk til den oppgitte epostkontoen, men når folk ikke selv har forsøkt å opprette en Facebook-profil vil de sannsynligvis ende med å ignorere denne mailen, mener Arrington. Dermed er det fritt frem for profilskaperen å opprettholde svindelen.

- Jeg regner med at profilen snart vil bli avviklet. Men hva om jeg hadde utgitt meg for å være en mindre profilert person, og Techcrunch ikke hadde skrevet om det, skriver Arrington videre.

Må skjerpe sikkerheten

Arrington har nemlig en agenda med eksperimentet. Hvis Facebook stenger for aktivitet på profilen før oppretteren har verifisert epostadressen sin, vil man kunne unngå slike identitetstyverier. Og selv om mange nettsteder opererer med de samme slappe sikkerhetsstrategi som Facebook er situasjonen likevel verre på det sosiale nettverket, mener Arrington.

- Med Facebook får jeg umiddelbart tilgang på et ganske godt sosialt snitt. Alle de foreslåtte vennene var folk som allerede hadde Erics epostadresse, og som jeg viste var det ganske lett å lure folk til å tro at jeg virkelig var Eric, skriver han.

- En person sendte meg til og med en ganske privat melding.

Frem til Facebook eventuelt bestemmer seg for å skjerpe sikkerheten har Arrington likevel et råd til personer som vil unngå at slike profiler opprettes i deres navn. Hvis man knytter alle epostadressene sine til Facebook-profilen sin vil ingen kunne bruke dem for å skape en falsk profil. Men siden mange har gamle epostadresser som ikke har vært i bruk på årevis kan det likevel fremdeles være en risiko, mener han.

Nå har Arrington gitt beskjed til Facebook om problemet, og bedt om en kommentar.

- Jeg var like ved å sende Elliot Schrage en melding om det via Schmidts falske konto, men det kunne virke som dårlig stil, skriver han.

Godt humør

Selv har Eric Schmidt tilsynelatende tatt stuntet med godt humør.

- Jeg har ingenting imot at Michael Arrington har utgitt seg for å være meg på Facebook. La oss se hvordan han håndterer alt sammen, twitret Google-sjefen for fem timer siden.