Egy szoftvermérnöknek sikerült kihasználnia a Facebook egyik adatbiztonsági beállítását, hogy automatikusan gyűjtsön be több ezer felhasználói adatot. Reza Moaiandin azt használta ki, hogy ha egy felhasználó összekötötte a mobilszámával a Facebook-profilját, akkor alapértelmezettként megtalálható az oldalon a száma alapján még akkor is, ha a profiladatai között nem adta meg a telefonszámot.
Moaiandin egy egyszerű algoritmussal másodpercenként több tízezer telefonszámot generált, majd ezeket elküldte a Facebook API-jának (az eszköznek, amellyel a fejlesztők mindenféle appot kapcsolhatnak a Facebookhoz), az pedig perceken belül szépen visszaküldött neki egy rakás felhasználói adatot. Alapvetően ez nem hiba, és csak nyilvánossá tett adatok (nevek, profilképek, tartózkodási helyek) érhetők el a módszerrel, a biztonsági szakemberek szerint viszont ilyen mennyiségben könnyű visszaélni velük, például a netes feketepiacon jól eladható adatbázist összeállítani belőlük.
Graham Cluley kiberbiztonsági elemző szerint a cégnek még az ilyen nyilvános adatok elérhetőségét is a lehető legnehezebben elérhetővé kellene tennie harmadik fél számára. Ehhez képest Moaiandin szerint az általa talált biztonsági rés olyan,
Éppen ezért már áprilisban is szólt a Facebooknak, majd júliusban megint. A cég szerint azonban nincs itt semmi látnivaló, ők mindennél jobban figyelnek arra, hogy a felhasználóik adatai biztonságban legyenek, folyamatosan monitorozzák a gyanús tevékenységet a rendszerük körül, és az API-jukkal kapcsolatban is nagyon szigorú feltételeket szabnak.
Ennek ellenére a biztonsági szakemberek már jó ideje sürgetik a Facebookot, hogy egyrészt vegye komolyabban és tegye átláthatóbbá az adatvédelmi beállításokat (amiben mutattak is fejlődést az utóbbi években), másrészt hogy vezessen be további titkosítási rétegeket is a felhasználói védelmére.
Bár a hírre reagáló Facebook-szóvivő hangsúlyozta, hogy mindenki beállíthatja magának, kivel mit oszt meg magáról, nem ez lenne az első alkalom, ha kiderülne, hogy nem minden felhasználó van tisztában egy-egy információ nyilvánosságával. Úgyhogy csak a biztonság kedvéért: a Beállítások>Adatvédelem>Ki találhat rám? útvonalon kikapcsolható, hogy mobilszám alapján megtalálhatók legyünk.