Простой запрос в Google выдаёт список из более 1,3 млн аккаунтов Facebook.
inurl:bcode=[*]+n_m=[*] site:facebook.com
Для каждого аккаунта прямо в URL указан адрес электронной почты, а некоторые ссылки позволяют осуществить автологин.
По одной из теорий, самым вероятным является утечка из подписи в электронных письмах. Если отправлять письмо с адреса @facebook.com, то в тело письма может добавляться подпись с такой ссылкой для входа на сайт. Вероятно, некоторые из таких писем попали в открытый доступ и были проиндексированы.
Файл robots.txt на сайте Facebook запрещает индексацию этих URL, но они всё равно попали в поисковый индекс. Дело в том, что Google имеет право в определённых условиях включать ссылки в поисковый индекс даже в том случае, если они запрещены к индексации в robots.txt. Это делается, например, в случае большого количества входящих ссылок на данный документ. Подробнее о правилах работы Google см. здесь. Для гарантированного исключения из поискового индекса веб-мастерам нужно использовать метатег noindex или тег X-Robots-Tag в HTTP-заголовке, и при этом открыть соответствующие страницы для индексации через robots.txt.
