Лазейку в API Facebook, которая позволяет получить доступ к конфиденциальной информации владельца аккаунта, зная лишь номер телефона, к которому этот аккаунт привязан, обнаружил британский разработчик программного обеспечения Реза Мояндин (Reza Moaiandin). Даже если вы предпочли не делиться с другими пользователями определенными данными, злоумышленники всё же могут узнать их, используя интерфейс программирования социальной сети, пишет в блоге «Цукерберг позвонит».
Мояндин отмечает, что в социальной сети Facebook настройка «Кто может искать и находить меня?» имеет по умолчанию значение «Все». И даже если свой номер телефона вы не опубликовали на странице, найти ваш профиль может кто угодно. Идя далее, хакер получает возможности отслеживания местоположения и просмотра изображений профиля.
Чтобы проверить свою теорию, Мояндин выполнил генерацию десятков тысяч мобильных номеров, которые прогнал через API социальной сети. В результате Facebook выдал программисту пользовательские ID, а также номера его телефонов и модели аппаратов, которыми пользуется владелец профиля, данные о версии мессенджера и фотографии. Разработчик не исключает, что без труда получил бы доступ и к другой информации, если бы хотел узнать максимум подробностей о жизни пользователя.
Мояндина возмутило то, что Facebook не защищает пользовательские данные дополнительным уровнем шифрования. В ответ на это официальные представители социальной сети заявили:
У нас строгие правила, которые регулируют, как разработчики могут использовать наш API для создания своих продуктов. Разработчикам доступна только та информация, которую решили сделать открытой сами пользователи. В разделе Privacy Basics мы предоставляем нашим пользователям подсказки, с помощью которых они могут быстро и легко принять решение о том, какой информацией о себе они хотят поделиться и с кем.
Однако поиск аккаунта по номеру мобильного телефона в Facebook по-прежнему работает, и для использования данной функции даже не нужно использовать инструменты API социальной сети. Максимум, что можно сделать для того, чтобы себя обезопасить – ограничить доступ к нему кругом своих друзей в Facebook.