Ranljivost v Facebooku omogočala zbiranje telefonskih številk

Suriya Prakash je pred dobrim mesecem dni ugotovil, kako lahko na Facebooku s preprosto skripto pobere telefonske številke vseh prijateljev in še koga drugega, ne da bi ti to sploh vedeli ali (hoté) dovolili. Prakas trdi, da je bilo ogroženih 98 odstotkov uporabnikov mobilnega Facebooka. Svoje ocene sicer ni utemeljil, je pa pokazal veliko število zbranih številk.

Napad gre približno takole. Facebook ima funkcijo Najdi prijatelje, ki omogoča iskanje uporabnikov Facebooka, ki jih imamo med svojimi kontakti (npr. v telefonskem imeniku), ne pa še med prijatelji na Facebooku. V tem primeru aplikacija primerja telefonske številke v mobilnem telefonu z objavljenimi številkami v Facebookovih profilih in javi zadetke. Kaj pa če bi v imenik naložili nepregledno množico vseh možnih telefonskih številk? Prakash je ugotovil, da v tem primeru lahko sestavi telefonski imenik svojih prijateljev na Facebooku in ostalih.

Priznati je treba, da je mogoče omenjeno dogajanje preprečiti, a ima Facebook tako zapletene nastavitve zasebnosti, da jih velika večina uporabnikov niti ne pogleda. Prakash je o odkritju obvestil Facebook, ki mu sprva ni verjel, potem pa so le priznali, da ranljivost obstaja. Zlorabo je omogočala tudi nastavitev mobilne strani Facebooka, ki za razliko od običajne ni imela omejitve po številu iskanj. Facebook je šele nekaj dni pozneje Prakashev račun blokiral.

Rešitev obstaja, a je treba za njo nekoliko pobrskati po nastavitvah zasebnosti. Najbolj elegantno je seveda odstraniti telefonsko število iz Facebooka. Če to ne gre, pa je mogoče omejiti, kdo vas lahko po številki poišče, in kdo jo lahko vidi. Oboje omejite.