Facebook承诺您可以控制谁看到朋友名单。但这可能并不总是如此。

乘客管理副总裁Irene Abezgauz在Facebook的“您可能知道”功能中发现了一种漏洞。

简而言之,互联网上的任何人都可以找到你的朋友是谁 - 即使你在Facebook上私下了友谊。他们只是需要创建一个假Facebook帐户并向您发送朋友请求。即使您没有回复朋友请求,他们也会通过Facebook的“您可能知道”功能来了解所有朋友的列表。

Abezgauz揭示了Appsec USA 2013的脆弱性,这是纽约安全会议。

“这一切都是关于隐私和人们信任Facebook正在尽最大努力保护用户隐私,”Abezgauz在venturebeat采访中说。但是,她补充说:“只要它避开了Facebook成长和扩展的方式,它就不是保护用户的隐私。”

“您可能知道的人”功能是Facebook的核心元素,可帮助您找到新的连接。虽然它可以帮助您构建您的网络并与长丢失的高中伙伴和前同事联系,但它也有效地建立了社交网络上的数据以及您的联系是谁。它建议基于相互联系和其他标准的朋友,例如工作或教育信息。

如果您在特定的人的时间表上,它将推荐您知道的人,以某种方式与该人联系在一起。但如果您的朋友名单是私密的,那么它不应该这样做。

让我们来看看Facebook如何定义你可能知道隐私的人在漏洞之前。

Facebook告诉Abezgauz:“记住:您的朋友控制谁可以在自己的时间表上看到他们的友谊。如果人们可以在另一个时间线上看到您的友谊,他们将能够在Facebook上的新闻源,搜索和其他地方看到它。他们还可以在你的时间表上看到相互朋友。“

开启了两个主要问题:

它表明,如果您将您的朋友列表设置为私人,但您的朋友将他们的公共设置设置为公众,他们的公共设置胜过您的私人设置。如果您和您的朋友都将连接列表设置为私人,但否则有一些“公众互动,“如喜欢你朋友的公共照片,那么你的连接就可以向世界透露。

在与那个逻辑保持逻辑时,如果您和您的朋友都将您的列表设置为私人,并且从未有任何公众互动,则您的私人友谊应保持私密,对吧?

错误的:你的友谊仍然会出现。

为了测试这一点,Abezgauz创建了两个独立的,完全新鲜的帐户。让我们称之为新的帐户用户A和用户B.作为用户,Abezgauz执行并观察以下内容:

用户A,它的朋友列表已经是私有的,添加了一系列的朋友,这些朋友将他们的朋友列表设置为private.user a与这些人没有与这些人的交互,而不是将它们添加为connections.user b,“攻击者用户”添加了它们作为朋友。用户A没有响应.Facebook根据用户A的朋友列表自动将“您可能知道的人”推送给用户B.结果包括步骤1中提到的朋友,其中用户A没有互动。FaceBook的声称它只会显示你有公众互动的朋友与不持有。

为了解释这一点,Facebook告诉Abezgauz,“但你没有办法知道你看到的建议是否代表了某人的完整朋友列表。”

Abezgauz告诉我们:“我可以看到数百个建议。所以,你知道什么,不是所有的。这是80%,所以什么。我让我的朋友名单私有的原因,我不希望来自互联网的人只是看着我的朋友是谁。“

这似乎是模糊的Facebook隐私线条和漏洞的经典案例。

我们问Facebook是否可能将其视为隐私问题,并在我们听到后立即更新回复。