Bij het invoeren van het emailadres van een Facebook-account in combinatie met een verkeerd wachtwoord, wordt men doorgeleid naar een pagina om opnieuw het wachtwoord in te toetsen. Maar op deze pagina wordt de volledige naam met foto van de gebruiker getoond. Dit geldt ook voor gebruikers die hun profiel volledig hebben afgeschermd.

Script al geschreven

Daardoor zouden spammers die al beschikken over een emaillijst via een script geautomatiseerd deze e-mails koppelen aan bestaande namen en foto's, waardoor eventuele gerichte fishing-aanvallen veel meer kans maken bij het slachtoffer. De bug werd bekend gemaakt door Atul Agarwal, een onderzoeker van Secfence Technologies. Hij publiceerde tevens een script dat hiervoor kan worden gebruikt.

Volgens Agarwal kunnen spammers ook ad random verzonnen emailadressen gebruiken om na te gaan of ze daadwerkelijk in gebruik zijn. Volgens hem heeft Facebook het erg makkelijk gemaakt om via deze methode de privacysettings te omzeilen.

'Het is wel verboden'

Volgens Facebook is de bug redelijk recent en zorgt die ervoor dat de technische systemen die moeten voorkomen dat afgeschermde data openbaar komt te staan, niet goed werken. Het zegt bezig te zijn met een oplossing. Facebook laat daarnaast weten dat het vergaren van dergelijke informatie door buitenstaanders verboden is.

Volgens Roger Thomson, onderzoeker bij securityleverancier AVG, wordt het interessant om te zien of Facebook de bug weet op te lossen voordat er misbruik van wordt gemaakt. Hij zegt dat met name de groep die de Koobface worm heeft geschreven, nogal geïnteresseerd zou kunnen zijn in het uitbuiten van deze bug. Koobface is een worm die sinds twee jaar de sociale netwerken teistert en veelal Facebook-gebruikers als doelwit heeft.