Search Engine Journal v Facebook Laves the Privacy Barn Door Open to App Developers píše o zkušenosti Bogomila Shopova. Tomu se za pět dolarů podařilo koupit mailové adresy, které patří uživatelům Facebooku (viz I just bought more than 1 million …Facebook data entries. OMG!). A to na základě inzerátu, který nabízel zhruba milion adres za pět dolarů a velmi pravděpodobně je umožňuje i získat v mírně utříděném stavu – zejména podle toho, odkud pocházejí.
Na případu Bogomila Shopova je zajímavé to, že se po zakoupení milionu e-mailů rozhodl kontaktovat Facebook a vše skončilo snahou někoho z Facebooku o to, aby Bogomil vše utajil, soubory smazal, ze svého blogu odstranil všechny zmínky a v žádném případě se nikde o ničem nezmiňoval.
Miliony e-mailových adres uživatelů Facebooku (Zdroj: Bogomil Shopov)
Jak je možné z Facebooku získat e-mailové adresy
Ještě před několika lety byly e-mailové adresy uživatelů na Facebooku zobrazovány v obrázkové podobě. Moc dlouho to ale nevydrželo, takže dnes jsou vaše e-maily Facebookem zobrazovány jako čistý text a je možné je strojově zpracovávat. Facebook má přes miliardu uživatelů (a ještě o hodně větší počet účtů) a desítky procent z nich nemají své profily ošetřené tak, aby jejich informace nemohl kdokoliv vidět – a právě díky tomu získávají spammeři e-maily a další informace o uživatelích.
Jméno, příjmení a profilová fotografie je navíc věcí veřejnou (a nelze jí ukrýt) a Facebook provozuje strojově zpracovatelný kompletní adresář všech uživatelů. A i kdyby něco takového neprovozoval, stačí programově procházet adresu www.facebook.com/profile.php?id=postupně_se_zvětšující_číslo. Případně využít Graph Api a https://graph.facebook.com.
Stačí prostě jenom naprogramovat jednoduchého robota a dostatečně pomalu a opatrně začít sbírat z Facebooku informace. Uživatele po uživateli. Stejný mechanismus lze samozřejmě použít k procházení všech příspěvků na stránkách (firemních profilech). V řadě komentářů lidé uvádějí své e-maily. Opět snadno spojitelné s jejich jménem, příjmením i profilovou fotografií.
Třetí často používaný způsob jsou miliony podvodných aplikací, maskujících se nejčastěji jako zábavné kvízy a hry. Uživatelé Facebooku jen velmi výjimečně neodkliknou povolení přístupu k jejich e-mailu. Za roky, co spammeři podobné mechanismy používají, už se takovýmto podvodným aplikacím muselo podařit získat e-maily od desítek milionů lidí. Přes aplikace navíc mohou navíc získat přístup k informacím o přátelích takovýchto lidí (pokud se chcete podobnému zpracování vyhnout, musíte jej ve svém profilu aktivně zakázat).
Jak se Facebook brání
Prvním dvěma popsaným mechanismům sbíraní e-mailů se Facebook brání tím, že se pokouší detekovat robotické zpracování – a pokud je zjistí, zablokuje automatu IP adresy. Obrana je účinná jen částečně, protože pro podobné sběrače není problém mít k dispozici stovky či tisíce IP adres.
Aplikačnímu způsobu sběru adres se Facebook příliš nebrání. V Podmínkách sice najdete zákaz uchovávání informací o uživatelích, pokud se ale vůbec kdy na něco takového přijde (velmi málo pravděpodobné), nemůže Facebook stejně udělat prakticky nic. Podvodná aplikace už v té době zřejmě svému provozovateli přinesla dostatek vytěžených mailů a osobních informací. A to, že Facebook škodlivou aplikaci zruší? Za pár minut bude funkční nová aplikace a opět do ní budou ochotně naskakovat nic netušící lidé.
Prodáváme jen aktivní uživatele, zn.: ověřeno, setříděno
Inzerát nabízející maily uživatelů Facebooku (Zdroj: Search Engine Watch)
Search Engine Watch v Facebook & Twitter Apps Exploited to Profit From Private Data ukazuje příklad toho, v jaké podobě Shopov adresy získal. A protože se redaktoři snažili prověřit některé profily uživatelů, uvádějí také, že nejspíš nešlo o případy „scrappingu“ veřejně dostupných informací. Potvrzují tak víceméně to, co uvádějí sami prodejci e-mailů:
The information in this list has been collected through our Facebook apps and consists only of active Facebook users, mostly from the US, Canada, UK and Europe. There are users from other countries as well but they are almost exclusively English speaking as well, as all the apps we provide are written in English and to use them properly one needs to read the instructions. The list is checked and validated once a month so you won’t get a list full of invalid or duplicate email addresses. Whether you are offering a Facebook, Twitter, social media related or otherwise a general product or service, this list has a great potential for you. Finally, the list is in a zipped excel format split into 12 sheets, each sheet containing roughly 100,000 email addresses with name, last name and facebook profile information separated with comma.
Všimněte si hlavně toho, že prodejci slibují měsíční kontrolu získaných e-mailů. Znamenalo by to, že jde o dlouhodobé zpracovávání informací z nějakých více používaných aplikací – tedy něco, co by podle pravidel Facebooku vlastně nemělo být možné.
A je tady ještě jedna věc, na kterou bychom měli pamatovat. Každý uživatel Facebooku má zřízenou e-mailovou adresu @facebook.com, která se tak dá strojově velmi snadno zjistit. Odpovídá totiž vždy profilové adrese uživatele. A tady teprve velká příležitost čeká.
