Suriya módszere az oldalnak azon a funkcióján alapszik, hogy a mobilos verzióban lehetőség van telefonszám alapján rákeresni felhasználókra. Ezt eredetileg azért tette lehetővé a Facebook, hogy az olyan embereket könnyen meg tudjuk találni, akik a telefonkönyvünkben szerepelnek, de még nem ismerőseink az oldalon. A szakértő azt vette észre, hogy a telefonszámalapú keresés semmilyen módon nincsen lekorlátozva, véletlenszerű számot beütve az oldal kiadja a hozzá tartozó felhasználót, ha az valaha megadta a számát az oldalon.

A következő lépés egy olyan program írása volt, ami az összes létező telefonszámot végigpróbálgatja, és ha a Facebook bármelyikre egy létező felhasználót dob vissza, azt elmenti egy adatbázisba. Suriya állítása szerint a programja négy napig futott, amikor a Facebook letiltotta a hozzáférését azzal az indokkal, hogy az ip-címéről gyanús tevékenységet észlelt a rendszer.

A trükk a rendszer logikájából fakad, mivel azt engedélyezi, hogy olyanokra keressünk rá telefonszám alapján, akiket nem ismerünk - illetve feltételezi, hogy ha tudjuk a számát az illetőnek, ismerjük is, csak nem számol azzal, hogy valaki vaktában kezd el milliónyi számot kipróbálgatni. A Facebook illetékesei azt nyilatkozták, jóval érzékenyebbre vették azt a rendszert, ami figyeli, hogy egy ip-címről mennyi keresés érkezik, de teljes védelmet az ilyen típusú kémkedés ellen csak úgy kaphatunk, ha a telefonszámunk láthatóságát vagy kereshetőségét korlátozzuk az adatbiztonsági beállításokban (esetleg töröljük az oldalról). Mivel ezek a lehetőségek a menürendszerben mélyen elrejtve találhatóak, szakértők szerint esélytelen, hogy az átlagos Facebook-felhasználók maguktól megtalálják őket, ezért a Facebooknak kellene alapban szigoróbbra venni a beállításokat, meghagyva a lehetőséget a felhasználónak, hogy enyhébbre vegye azokat, és engedélyezze a keresést, ha akarja.

(index)