Аспирант Шах Махамуд (Shah Mahmood) и председатель информационно-коммуникационных технологий Университетского колледжа Лондона (University College London) Иво Десмедт (Yvo Desmedt) сообщили об уязвимости в Facebook, которая позволяет получить доступ к информации пользователей.

Подробное описание уязвимости, которую исследователи прозвали «атака деактивации друга», они изложили на международном семинаре по безопасности и социальным сетям SESOC 2012, которая прошла 19 марта в Лугано, Швейцария.

По словам исследователей, атака «деактивации друга» происходит в то время, когда злоумышленник добавляет свою жертву в Facebook, а затем деактивирует свою учетную запись. Поскольку пользователи соцсети могут активировать и деактивировать свои страницы в любое время, это позволяет злоумышленнику повторять этот процесс неограниченное число раз. В то время, когда учетная запись пользователя деактивирована, он становится невидимым для других «друзей» и его невозможно удалить из списка друзей или добавить в какой-либо другой список. Сложность заключается в том, что пользователям Facebook не сообщается о том, деактивированы ли учетные записи их «друзей». Так, деактивировав свою учетную запись, злоумышленник получает доступ ко всему, что опубликовано на странице его жертвы. Как только он изучил интересующую его информацию, он может снова активировать свою учетную запись, и его «друзья» не узнают о том, что он получил доступ к их информации.

По словам исследователей это может стать серьезной проблемой, поскольку часто пользователи Facebook не очень разборчивы при добавлении «друзей». Они утверждают, что эта уязвимость может привлечь внимание спамеров, хакеров и мошенников.

По их словам предупредить эту атаку можно в том случае, если Facebook будет оповещать своих пользователей о деактивации страницы их «друзей» в соцсети.