Поиск людей в Facebook по телефонному номеру работает даже если номер скрыт.

Специалист по безопасности Реза Мояндин (Reza Moaiandin, на фото) уже несколько месяцев добивается от Facebook исправления настроек безопасности на сайте. По его мнению и по словам других независимых специалистов, нынешние настройки по умолчанию некорректно раскрывают конфиденциальную информацию пользователей без их ведома.

Проблема в том, что поиск людей в Facebook осуществляется не только по имени, но еще по телефону и адресу электронной почты. При этом поиск возможен даже в том случае, если пользователь скрыл от показа эти поля в своем профиле.

Facebook не считает это багом. В настройках конфиденциальности есть специальный раздел «Кто может меня найти?». Там для каждого параметра указывается аудитория, которой разрешено находить пользователя по данному параметру. Проблема в том, что по умолчанию в данном разделе нет никаких ограничений, так что поиск по телефону и адресу электронной почты работает даже если эти параметры скрыты от показа в профиле.

Реза Мояндин написал скрипт, которые обращается к Facebook API и перебирает все номера подряд.

Таким образом, например, можно составить базу с именами и телефонными номерами почти всех пользователей из определенной страны (даже с фотографиями). Кроме тех немногих, кто все-таки зашел и исправил баг в настройках конфиденциальности.

Компания Facebook уже ответила хакеру, что не считает это багом. Во-первых, в настройках конфиденциальности есть соответствующий раздел, как уже было сказано. Во-вторых, в Facebook работают специальные сетевые программы, которые отслеживают подозрительные обращения к API и блокируют запросы в случае массового сбора данных.

Специалист сообщил об уязвимости в Facebook еще в апреле 2015 года, но сотрудник отдела безопасности объяснил ему, что это не баг, а фича, так что на вознаграждение рассчитывать не приходится.