大家都知道,Facebook 宣稱他們將使用者的權利放在第一優先,因此你可以選擇能看到你動態時報的對象、審查別人標註自己的貼文、設定好友名單的顯示方式。
而今天的問題就是出在好友名單上。致力於網路安全的 Quotium 產品副總 Irene Abezgauz 發現 Facebook 的一個特色功能:「你可能認識的朋友 (People you may know)」,會造成用戶的好友名單隱私出現漏洞。
- 明明好友名單設定為「只有本人」看得到,但還是會被 FB 從「你可能認識的人」推薦中洩漏出來
這個漏洞出現在陌生人傳送好友邀請給你的時候。
假設你是個非常保護朋友的人,所以你將你的好友名單顯示調成「只限本人」,但當陌生人向你傳送好友邀請時,Facebook 會自動計算一份你和陌生人之間最有關係的名單出來 (無論你是否同意這位陌生人的好友邀請),而這裡面常會包含已經被你隱藏起來的好友名單的一員。
Irene Abezgauz 認為,這違背了使用者將好友名單顯示為「只限本人」的初衷,於是在 2013 年的AppSec USA大會上,他對 Facebook 提出質疑。
而 Facebook 的回應如下:
假如人們可以在另外的頁面上發現你們 (你和你的好友) 的友誼關係,他們也能透過搜尋或其他功能在動態時報上看到他,此外他們也和你擁有共同好友。
針對 Facebook 的回應,Irene Abezgauz 做了一個實驗,他創了 A 和 B 兩個帳號,彼此之間沒有任何共同好友,但當 B 對將好友顯示成隱私的 A 送出好友邀請時,A 的好友便出現在下方的「你可能認識的人」名單中。
對此 Facebook 則回應:
但你無法確認這些推薦名單裡是有真有 A 的好友。
然而,Irene Abezgauz 認為雖然無法百分之百確認,但透過各種方式,還是有不低的機率從這些推薦好友名單裡找到原本 A 希望隱藏起來的好友,這是一個漏洞。
目前 Facebook 對 Irene Abezgauz 的進一步說法還沒有回應。
- 雖然推薦「你可能認識的人」違反使用者設定隱私的初衷,但串聯朋友不正是 FB 初衷嗎?
這真的是 Facebook 的隱私漏洞嗎?但回想一下,「你可能認識的人」功能好像是 Facebook 最早的設計之一,在 2008 進入臺灣時,很多人透過這個功能找到了失散已久的國小同學、國中同學,大家玩得不亦樂乎。
這種藉由一個朋友認識更多朋友的設計,是 Facebook 最根本的理念之一 (社群力量),但當時間到了 2013 年網路隱私意識高漲的時候,社群網站這樣的「存在基礎」是否真到了需要改變的時候?大家都知道揠苗助長、矯枉過正的傷害,若為了保護同學甲不被陌生人騷擾,而喪失了讓同學乙透過自己找到同學甲的機會,這真的值得嗎?
個人還蠻喜歡「你可能認識的人」功能的!
(資料來源:VentureBeat;圖片來源:dkalo, CC Liscensed)
Source: techorange.com