Geçtiğimiz hafta Suriya Prakash adlı bir araştırmacı Facebook’ta yer alan telefon numaralarının %98’inin güvende olmadığını söylemiş ve iddiasını sayısız telefon numarası ve ait oldukları kullanıcılarının isimlerini hiç de zorlanmadan toplayarak kanıtlamıştı.
Prakash mobil uygulamada “rehberden Facebook arkadaşlarını bul” seçeneğini görünce aklına rastgele telefon numaralarını sosyal ağda aratma fikrinin geldiğini ve numara sahibi de izin verdiğinde tüm profil bilgilerine erişebildiğini fark ettiğini söylüyor. Facebook’un gizlilik ayarlarının karmaşıklığı sebebiyle çoğunluğun bilmeden de olsa profilinin görüntülenmesine izin verdiğini fark eden Prakash, bu işlemi otomatik olarak gerçekleştirmek için bir de kod hazırladı. Facebook’a “Olası Güvenlik Zafiyeti” başlıklı bir e-posta yollayan araştırmacı, sosyal ağın güvenlik ekibinden olası senaryoda bahsedilen güvenlik açığının ne olduğunu anlamadıklarını belirten aşağıdaki cevabı almış.
Aradan geçen bir ay boyunca Facebook’tan bir cevap alamayan Suriya Parakash daha fazla isim ve telefon numarası verisi toplama fikrinin hala işe yarayacağını düşündü ve ikinci e-postasına Facebook’tan aşağıdaki; arkadaş talebi yollama sınırlaması olduğuna ve ayrıca kişiler ayarlarını değiştirmedikçe telefon numaralarından profillerine ulaşılması durumunda kendilerinin yapacakları bir şey olmadığını belirten cevabı aldı. Tüm bunların üzerine hazırladığı kodu bu linkte permüstasyona uyarlayarak bir dosya hazırlayan araştırmacı dört gün boyunca Facebook tarafından engellenmediğini ve sınırlanmadığını böylece bilgileri kayıt altına aldığını, bu senaryonun bir mobil şebekeye veya alan kodu bilinen bir bölgeye saldırmak için kullanılabileceğini söylüyor.
Suriya Facebook’tan yine cevap alamayınca, sahiplerini korumak amacıyla bazı rakamları silinmiş 846 kişilik numara ve isim listesini PrivatePaste’te yayınladı.
Facebook ise Suriya’nın kodunun durdurulmadığını iddiasını yalanlayan ve bu tarz saldırılara karşı sistemin güçlendirildiğini belirten bir bildiri yayınladı.
Facebook ve Parakash, hesabın ne zaman engellendiği konusunda anlaşmaya varamasa da en azından böyle bir saldırının gerçekleştiği ve hesaba erişimin engellendiği konusunda hemfikirler. Sosyal ağ ise sızdırılan bilgiler için “Bir kişiyi telefon numarasıyla aratmak Facebbok’taki bir hatadan kaynaklanmıyor. Varsayılan durumda, kullanıcı –telefon numarası ve e-posta adresi gibi- kendi verdiği bilgiler doğrultusunda herkesin kendini aramasına onay vermiş sayılıyor ve bu bilgiler istenildiği zaman Gizlilik Ayarları sayfasından değiştirilebilir” açıklamasını yapmakla yetiniyor.