Новый интерфейс
Graph API,
внедренный в Facebook в прошлую пятницу и призванный объединить сеть еще крепче,
содержит серьезную брешь, позволяющую увидеть список публичных мероприятий,
которые пользователи посетили или планируют посетить. Быть "другом" этих
пользователей на Facebook для извлечения данной информации вовсе не обязательно.
Первым о проблеме рассказал программист благотворительного фонда Google
Ка-Пин Йи, который при поиске через Graph API обнаружил, что практически все
запросы позволяли ему увидеть мероприятия, которые те или иные люди планировали
посетить, или уже посетили. Йи продемонстрировал уязвимость этого API,
связанного напрямую с базами данных Facebook, показав
список
запланированных мероприятий ее основателя Марка Цукерберга.
По словам эксперта, способов предотвратить появление списка событий в
публичном доступе с помощью настроек безопасности нет. Единственный вариант
избежать огласки – это заявить, что ты не собираешься посещать определенную
встречу, даже если тебя на нее пригласили.
Несмотря на то, что новая система показывает информацию лишь об "открытых"
мероприятиях, которая по сути своей и должна быть открытой, она радикально
меняет ситуацию. К примеру, с помощью списка запланированных визитов можно в
конечном итоге получить сведения о домашнем адресе человека, адресах его друзей,
фамилии людей, имеющих общие с определенным пользователем интересы, его
пристрастия, а также сведения об осуществляемой им политической или религиозной
деятельности.
Впрочем, некоторым людям, попытавшимся проделать те же манипуляции, что и
Ка-Пин Йи, не удалось засвидетельствовать факта широкомасштабной компрометации
личных данных – лишь календарь мероприятий Цукерберга был доступен для всех.
