Facebooks förslappade underliv har dykt upp igen tack vare Bogomil Shopov, en online IT-marknadsföring och community ledare från Bulgarien, som nyligen kunde köpa en miljon namn, e-postadresser och Facebook profil-ID: n.
Medan han surfade på webben efter gratis marknadsföringsverktyg och guider för sitt företag, eller "nollbudgetmarknadsföring", som han sa till mig, leddes Shopov till Gigbucks. Gigbucks är en "e-handelsplattform" som liknar Fiverr, där köpare kan köpa tjänster eller produkter för så lite som $5 eller så mycket som $50. Men vad han snubblade över var ett erbjudande om en miljon Facebook-konton och deras e-postadresser som utvinns från en Facebook-app. Av nyfikenhet köpte Shopov Excel-listan för $5 och fick kort därefter listan som utlovat. Han kände igen att rubriken var turkisk, vilket indikerar att utvecklarna som ansvarar för att anskaffa användaren informationen kom från Turkiet, men kontona var främst från användare i USA, Kanada och Storbrittanien.
Rekommenderade videor
Efter att ha publicerat sin blogginlägg Facebook kontaktade Shopov via telefon för att ta reda på exakt hur han hade fått tag på all denna information. Och när vi kollade in webbadressen igen idag märkte vi att erbjudandet hade tagits ner från Gigbucks. Shopov berättade för oss att Gigbucks administratörer meddelade honom i går kväll att erbjudandet togs bort, troligen på begäran (läs: begäran) från Facebook.
Eftersom Facebook har introducerat mer sömlösa interaktioner i Facebook Connect och dess Open Graph-appar, har det blivit svårare att veta vad du ger upp och vad du ger tillgång till; det hela är mycket mindre märkbart än det brukade vara. Användare kanske inte inser att det är ganska enkelt för utvecklare att bryta din information; alltför många av oss antar att tredjepartsutvecklare av Facebook-appar inte kommer att använda din information så här. "Den data som vi frivilligt tillhandahåller till sociala nätverk, även när vi kontrollerar våra sekretessinställningar, blir allt mer sårbara", säger Robert Leshner, grundare av Safeshephard. "Det är inte Facebook eller ens LinkedIn som vi behöver oroa oss för," tillägger Leshner. "Det är den svagaste länken i integritetskedjan, och just nu är det tredjepartsappar. Facebooks muromgärdade trädgård är inte särskilt väl omgärdad – den håller på att falla sönder.”
Hur tredjepartsutvecklare gör detta är genom att skapa appar (som kanske erbjuder värde eller inte) i det enda syftet att samla in användardata, en praxis som vi har pratat om tidigare. När du först använder en Facebook-app dyker en sida upp som beskriver den information du tillåter utvecklaren att komma åt. Din e-postadress, namn, användar-ID, kön och annan grundläggande information är rättvist spel - och om den hamnar i fel händer kan den sedan samlas till en snygg lista och säljas.
Det finns ett ganska stort incitament bland blackhat-marknadsförare att betala för denna värdefulla lista med riktig e-post adresser och Facebook-konton (Facebook har trots allt gjort sig ett namn som ägare av real identiteter). Dessa adresser kan användas för att öka antalet följare på Facebook-sidor (genom inbjudningar), eller så kan Facebook-användare placeras på e-postlistor. Den kan också användas för att rikta in sig på dessa specifika användare baserat på e-postadresser, telefonnummer och användar-ID. Observera att du kan hitta det Facebook-konto som är kopplat till en e-postadress helt enkelt genom att skriva e-postmeddelandet i Facebooks sökfält, på samma sätt som en forskare tidigare upptäckte Facebook-profiler kopplade till telefonnumren.
En enkel webbfråga avslöjar en expansiv och blomstrande underjordisk marknad för Facebook-ID: n kopplade till e-postadresser. Det påminner om marknaden för hackade Twitter-konton vi rapporterade om Tidigare den här månaden. Faktum är att vi kunde köpa ett par av dessa listor för lite som $5 styck. Liksom Shopov fick vi en .rar-fil med flera .txt-filer med över 1,5 miljoner e-postadresser, namn och Facebook-profil-ID: n. Och ja, det var verkligen så enkelt.
Vad en av säljarna avslöjade för oss hur utbredd och vanlig praxis att köpa och sälja denna data är: Han köpte en lista med 32 miljoner e-postadresser och Facebook-konton från sina vänner och packade om listan i uppsättningar på mellan en och två miljoner e-postadresser till sälja vidare. Det verkar också finnas en del återanvändning och återvinning på gång, eftersom vi insåg att vi hade köpt dubblettlistor från två olika säljare.
Med vårt ökande beroende av att använda Facebook eller andra sociala nätverk för att komma åt tredjepartsapplikationer, kan vår data lätt missbrukas och dra nytta av tredje part. Innan du tillåter en app åtkomst till din information nästa gång, kanske du vill vara mer uppmärksam.
Vi kontaktade Facebook och kommer att uppdatera dig med deras svar.
Redaktörens rekommendationer
- Facebook säger att de oavsiktligt laddade upp e-postkontakter för 1,5 miljoner användare
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
