Hlavní navigace

Facebook jako farma adres pro spammery: na prodej jsou miliony e-mailů za babku

Daniel Dočekal 6. 11. 2012

Milion e-mailů uživatelů Facebooku za pět dolarů je hodně levná nabídka. A navíc funguje, protože za pakatel opravdu dostanete milion adres lidí, kteří vůbec netuší, že jejich e-maily někdo prodává. Jak je to možné?

Search Engine Journal v Facebook Laves the Privacy Barn Door Open to App Developers píše o zkušenosti Bogomila Shopova. Tomu se za pět dolarů podařilo koupit mailové adresy, které patří uživatelům Facebooku (viz I just bought more than 1 million …Facebook data entries. OMG!). A to na základě inzerátu, který nabízel zhruba milion adres za pět dolarů a velmi pravděpodobně je umožňuje i získat v mírně utříděném stavu – zejména podle toho, odkud pocházejí.

Na případu Bogomila Shopova je zajímavé to, že se po zakoupení milionu e-mailů rozhodl kontaktovat Facebook a vše skončilo snahou někoho z Facebooku o to, aby Bogomil vše utajil, soubory smazal, ze svého blogu odstranil všechny zmínky a v žádném případě se nikde o ničem nezmiňoval.

Miliony mailových adres uživatelů Facebooku (Zdroj: Bogomil Shopov)

Miliony e-mailových adres uživatelů Facebooku (Zdroj: Bogomil Shopov)

Jak je možné z Facebooku získat e-mailové adresy

Ještě před několika lety byly e-mailové adresy uživatelů na Facebooku zobrazovány v obrázkové podobě. Moc dlouho to ale nevydrželo, takže dnes jsou vaše e-maily Facebookem zobrazovány jako čistý text a je možné je strojově zpracovávat. Facebook má přes miliardu uživatelů (a ještě o hodně větší počet účtů) a desítky procent z nich nemají své profily ošetřené tak, aby jejich informace nemohl kdokoliv vidět – a právě díky tomu získávají spammeři e-maily a další informace o uživatelích.

Jméno, příjmení a profilová fotografie je navíc věcí veřejnou (a nelze jí ukrýt) a Facebook provozuje strojově zpracovatelný kompletní adresář všech uživatelů. A i kdyby něco takového neprovozoval, stačí programově procházet adresu www.facebook.com/profile.php?id=pos­tupně_se_zvětšující_číslo. Případně využít Graph Api a https://graph.facebook.com.

Stačí prostě jenom naprogramovat jednoduchého robota a dostatečně pomalu a opatrně začít sbírat z Facebooku informace. Uživatele po uživateli. Stejný mechanismus lze samozřejmě použít k procházení všech příspěvků na stránkách (firemních profilech). V řadě komentářů lidé uvádějí své e-maily. Opět snadno spojitelné s jejich jménem, příjmením i profilovou fotografií.

Třetí často používaný způsob jsou miliony podvodných aplikací, maskujících se nejčastěji jako zábavné kvízy a hry. Uživatelé Facebooku jen velmi výjimečně neodkliknou povolení přístupu k jejich e-mailu. Za roky, co spammeři podobné mechanismy používají, už se takovýmto podvodným aplikacím muselo podařit získat  e-maily od desítek milionů lidí. Přes aplikace navíc mohou navíc získat přístup k informacím o přátelích takovýchto lidí (pokud se chcete podobnému zpracování vyhnout, musíte jej ve svém profilu aktivně zakázat).

Jak se Facebook brání

Prvním dvěma popsaným mechanismům sbíraní e-mailů se Facebook brání tím, že se pokouší detekovat robotické zpracování – a pokud je zjistí, zablokuje automatu IP adresy. Obrana je účinná jen částečně, protože pro podobné sběrače není problém mít k dispozici stovky či tisíce IP adres.

Aplikačnímu způsobu sběru adres se Facebook příliš nebrání. V Podmínkách sice najdete zákaz uchovávání informací o uživatelích, pokud se ale vůbec kdy na něco takového přijde (velmi málo pravděpodobné), nemůže Facebook stejně udělat prakticky nic. Podvodná aplikace už v té době zřejmě svému provozovateli přinesla dostatek vytěžených mailů a osobních informací. A to, že Facebook škodlivou aplikaci zruší? Za pár minut bude funkční nová aplikace a opět do ní budou ochotně naskakovat nic netušící lidé.

Prodáváme jen aktivní uživatele, zn.: ověřeno, setříděno

Inzerát nabízející maily uživatelů Facebooku (Zdroj: Search Engine Watch)

Inzerát nabízející maily uživatelů Facebooku (Zdroj: Search Engine Watch)

Search Engine Watch v Facebook & Twitter Apps Exploited to Profit From Private Data ukazuje příklad toho, v jaké podobě Shopov adresy získal. A protože se redaktoři snažili prověřit některé profily uživatelů, uvádějí také, že nejspíš nešlo o případy „scrappingu“ veřejně dostupných informací. Potvrzují tak víceméně to, co uvádějí sami prodejci e-mailů:

WT100

The information in this list has been collected through our Facebook apps and consists only of active Facebook users, mostly from the US, Canada, UK and Europe. There are users from other countries as well but they are almost exclusively English speaking as well, as all the apps we provide are written in English and to use them properly one needs to read the instructions. The list is checked and validated once a month so you won’t get a list full of invalid or duplicate email addresses. Whether you are offering a Facebook, Twitter, social media related or otherwise a general product or service, this list has a great potential for you. Finally, the list is in a zipped excel format split into 12 sheets, each sheet containing roughly 100,000 email addresses with name, last name and facebook profile information separated with comma.

Všimněte si hlavně toho, že prodejci slibují měsíční kontrolu získaných e-mailů. Znamenalo by to, že jde o dlouhodobé zpracovávání informací z nějakých více používaných aplikací – tedy něco, co by podle pravidel Facebooku vlastně nemělo být možné. 

A je tady ještě jedna věc, na kterou bychom měli pamatovat. Každý uživatel Facebooku má zřízenou e-mailovou adresu @facebook.com, která se tak dá strojově velmi snadno zjistit. Odpovídá totiž vždy profilové adrese uživatele. A tady teprve velká příležitost čeká.

Našli jste v článku chybu?
Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Podnikatel.cz: Poslanci chtějí sebrat majetek Bakalovi

Poslanci chtějí sebrat majetek Bakalovi

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Podnikatel.cz: ČOI zamířila na e-shopy. Zaplatí 1,5 milionu

ČOI zamířila na e-shopy. Zaplatí 1,5 milionu

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

DigiZone.cz: Digi2GO: výborný základ, ale...

Digi2GO: výborný základ, ale...

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

120na80.cz: Běžci, co jíst poslední dny před závodem?

Běžci, co jíst poslední dny před závodem?

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!