Kto pobiera z BitTorrenta pakiet 100 milionów profili Facebooka?

Haker Ron Bowes z grupy Skull Security napisał robota indeksującego, który przeszedł przez cały publicznie dostępny katalog Facebooka, wyciągając z niego wszystko to, co użytkownicy serwisu Marka Zuckerberga publicznie udostępniają. Pierwotnym celem projektu było wykorzystanie listy imion i nazwisk w nowym module łamania haseł do Nmapa – Ncrack. Jednak autor szybko zorientował się, że cała sprawa ma daleko posunięte implikacje dla prywatności.

Szybko okazało się, że mając URL profilu i nazwisko użytkownika można obejrzeć przy domyślnych ustawieniach prywatności jego zdjęcie, listę jego znajomych, informacje o nich, i kilka innych detali. Jeśli więc ktoś ustawił sobie w preferencjach prywatności Facebooka, że nie chce pojawiać się w wynikach wyszukiwania, to wystarczy, że jeden z jego znajomych jest dostępny w indeksie, a i on może zostać w ten sposób znaleziony.

Po uruchomieniu i wykorzystaniu kilkuset gigabajtów ruchu sieciowego, napisany w Rubym robot zdobył listę 171 mln imion i nazwisk z Facebooka (z tego ponad 100 mln unikatowych kombinacji). Służyć ona miała przede wszystkim do generowania kombinacji loginów wykorzystywanych w internetowych serwisach. Całość tego znaleziska – publicznie przecież dostępnego dla każdego chętnego powtórzenia wyczynu Bowesa – znalazła się w BitTorrencie. Paczka zawiera:

• URL każdego przeszukiwalnego profilu w Facebooku,

• imię i nazwisko każdego znalezionego użytkownika Facebooka

• przetworzone listy nazwisk

• oraz skrypt wykorzystany do wygenerowania tego materiału.

Z łatwością pakiet można znaleźć obecnie na ISOhuncie, ThePirateBay i wielu innych publicznych trackerach. Autor odkrycia zapewnia, że kolejne edycje tego „kompletnego Facebooka” będą zawierały nie tylko zindeksowanych użytkowników, którzy byli dostępni dla wyszukiwania, ale i ich znajomych. Do tego potrzebna jest po prostu większa moc obliczeniowa. Pojawią się także osoby, których imiona są zapisane alfabetami innymi niż łaciński.