CERT krytycznie o bezpieczeństwie na Facebooku, Meta ignoruje zalecenia. Eksperci: "przegraliśmy tę walkę"
"Przegraliśmy tę walkę" – taką gorzką diagnozę stawiają analitycy, komentując to, co dzieje się w zakresie cyberbezpieczeństwa mediów społecznościowych należących do Meta. Zbiega się to z raportem opublikowanym przez CERT Polska, który podsumowuje działania Mety na rzecz zwiększenia bezpieczeństwa Polaków na Facebooku. Nie ma co owijać w bawełnę – mowa nie tyle o działaniach, ile o braku działań.
CERT Polska apelował do Facebooka – konkretne propozycje działań miały zwiększyć bezpieczeństwo
W grudniu 2024 r. działająca przy NASK grupa CERT Polska odpowiedzialna za reagowanie na zagrożenia w cyberbezpieczeństwa i incydenty zwróciła się do korporacji Meta, właściciela Facebooka, Instagrama czy WhatsAppa, o wdrożenie bardziej skutecznych miar walki z naruszeniami bezpieczeństwa. Polscy eksperci proponowali konkretne systemowe rozwiązania o dowiedzionej w praktyce skuteczności.
Dziś, po kwartale, nadszedł czas podsumowań, które trudno uznać za inne niż rozczarowujące. Choć część pomysłów zostało wdrożonych, inne zostały całkowicie zignorowane. Nie będzie przesady w twierdzeniu, że na sporą część postulatów polskiej agencji amerykański big tech zwyczajnie sobie gwiżdże.
Bierność moderacji i zyski z niebezpiecznych reklam – dlaczego Facebook stał się tak groźnym miejscem?
Problemów z bezpieczeństwem serwisów społecznościowych Meta, przede wszystkim Facebooka, jest bez liku. Przyczyną jest to, że są zwyczajnie tolerowane przez administrację i moderację. Facebook czerpie zyski z emitowanych w serwisie reklam, a to czy reklamowana jest niebezpieczna treść, jest dla Mety drugorzędne.
W związku z narastającym zagrożeniem CERT Polska zwrócił się w grudniu z szeregiem postulatów, które mają uzdrowić sytuację. Postulowane były zmiany w moderacji, skuteczniejsze reagowanie zgłoszenia zwykłych użytkowników, blokowanie kont emitujących groźne treści czy powiększenie grona moderatorów polskojęzycznych. Jakie są skutki?
Meta ignoruje większość zaleceń, inne wdraża częściowo. Na odczuwalne zmiany nie ma co liczyć
Choć CERT Polska przekonuje w komunikacie, że należy docenić działania Mety w kierunku poprawy bezpieczeństwa, to jasne jest, że w większości propozycje zostały zignorowane. Niektóre z nich nie doczekały się nawet odpowiedzi ze strony przedstawicieli Mety. Zakres wdrożonych zmian nie przekłada się na odczuwalne zwiększenie bezpieczeństwa na Facebooku:
Pomimo deklaracji i odnotowanych powyżej zmian, wiele kluczowych oczekiwań CERT Polska nie zostało spełnionych. Tworzone przez oszustów treści masowo pojawiają się w reklamach, a zgłoszenia użytkowników wciąż zamykane są ze statusem sugerującym brak reakcji. Nie zostały także przedstawione plany poprawy czasu aktualizacji w Bibliotece Reklam, deklarując, że wynika to z ograniczeń technicznych.
Meta odmówiła m.in. implementacji polskiej listy ostrzeżeń, obiecując, że wdrożone zostanie rozwiązanie na poziomie globalnym dostarczone przez firmę zewnętrzną. Obietnicy nie zrealizowano. Korporacja całkowicie zignorowała postulat zatrudnienia dodatkowych polskojęzycznych moderatorów – CERT Polska nie doczekał się nawet odpowiedzi na korespondencję w tej sprawie.
Nie zostanie także uporządkowana Bibliotek Reklam, która stanowi dziś istne repozytorium cyberzagrożeń, a nie pozwala na nadzorowanie i kontrolę na bieżąco. Indeksowanie treści jest możliwe dopiero po wielu godzinach emisji, dopiero gdy dojdzie do interakcji, czyli w praktyce ataku na cyberbezpieczeństwo. Meta nie planuje zmian ze względu na rzekome ograniczenia techniczne.
Najważniejsze jednak, że nie zaszły w zasadzie żadne zmiany w tym, jak moderacja reaguje na zgłoszenia użytkowników.
Można byłoby zakładać, że skoro sama Meta nie zamierza podejmować zdecydowanych działań, to będzie, chociaż reagować na działania samych użytkowników (czy też klientów), którzy za darmo wykonają analityczną pracę, chcąc zabezpieczyć siebie i innych. Otóż nie, zdecydowana większość zgłoszeń wciąż kończy się komunikatem, według którego Meta nie dopatrzyła się nadużyć.
Niebezpiecznik: "Przegraliśmy tę walkę, wracajcie do znikających storisków"
Analitycy nie przebierają w słowach. Zespół Niebezpiecznika zwrócił dziś uwagę na próbę zgłoszenia kolejnego oszustwa coraz popularniejszego, relatywnie nowego rodzaju. Oszuści zakładają profile całych fikcyjnych firm i budują im lokalną legendę, by napędzić sprzedaż.
Rzecz jasna zgłoszenia użytkowników nie przynoszą żadnych rezultatów – po wielu dniach przetwarzania moderacja podejmuje decyzję, że treść nie narusza zasad Facebooka. Diagnoza ekspertów Niebezpiecznika jest bolesna i można ją odnieść także do tego, jak Meta potraktowała zalecenia CERT Polska:
Nawet nie próbujcie zgłaszać takich scamow do Facebooka. Oni mają to w… Poradzilibyśmy zrobić coś na złość Zuckerbergowi, ale jego chyba nic już nie rusza i nic nie zaboli. Przegraliśmy tę walkę, wracajcie do znikających storisków, lajkowania i algorytmicznych patotreści przykrywających wartościowe wpisy o obciętych zasięgach.
Zachęcamy się do zapoznania z próbą oszustwa, które próbowano bezskutecznie zgłosić administracji do usunięcia. W przyszłości może to uchronić użytkowników Facebooka przed nieprzyjemnościami czy choćby zakupowym rozczarowaniem:
