חיפוש לפי מספר טלפון באתר פייסבוק עלול לחשוף פרטי משמשים

ב-4 באוגוסט פרסם חוקר אבטחה Reza Moaiandin כי עלה בידו לפתח אלגוריתם המנצל ליקוי בהגדרות האבטחה של פייסבוק, המאפשר להשיג מספר טלפון המקושר לחשבון ברשת זו וממנו להגיע למידע הקיים בחשבון.

כיום ניתן לחפש אדם בפייסבוק באמצעות הקשת מספר הטלפון שלו בשורת החיפוש, החוקר יצר אלגוריתם המפיק עשרות אלפי מספר טלפון אשר נשלחים ל-API של פייסבוק.

לאחר מכן בוצע חיפוש של המספרים באופן אוטומטי באתר הרשת החברתית, דבר שהניב לחוקר מספר רב של פרופילים ומספר המזהה של כל פרופיל, דבר אשר יכול להניב מידע דוגמת שמו המלא של המשתמש, מידע בפרופיל הציבורי וסוג תוכנת המסרים המיידיים.

נמסר כי אמנם ה-API שולח רק מידע הזמין לכלל הציבור, אולם לדברי החוקר, עדיין יש מקום רב לניצול של המידע ולטענתו אדם בעל ידע מתאים יכול לאגור מידע ציבורי רב על אודות המשתמשים אשר אפשרו גישה ציבורית למספר הטלפון שלהם ואולי אף למכור את המידע.

עם זאת, החוקר לא הצליח להגיע למידע שבחשבון כאשר המשתמשים הגדירו את מספר הטלפון שלהם כלא-ציבורי.

הוא מסר כי הוא עדכן את החברה פעמיים בעבר על החולשה, אולם לדבריו נמסר לו כי אין היא רואה בכך חולשה.