Experten des Quotiom Seeker Research Centers haben eine Sicherheitslücke in Facebooks Privatsphären-Einstellungen entdeckt. Die Sicherheitslücke erlaubt es einem Angreifer sämtliche Facebook Freundeslisten einzusehen. Die Attacke macht sich hierzu den "Personen die Du vielleicht kennst..."-Mechansimus auf Facebook zunutze. Ein Facebook-Algorithmus der andere Benutzer als potentielle Freunde vorschlägt.

Facebook kommentierte die Sicherheitslücke "Wer auf Facebook keine Freunde hat und eine Freundschaftsanfrage an jemanden sendet, der die Ansicht seiner kompletten Freundesliste von der Chronik verbirgt, kann unter Umständen trotzdem Kontaktvorschläge aus der Freundesliste dieses Nutzers erhalten. Es gäbe jedoch keine Möglichkeit herauszufinden, ob die eingeblendeten Personenvorschläge die komplette Freundesliste des Nutzers abbilden."

Um die Attacke auszuführen, legt ein Angreifer ein neues Facebook Profil an und sendet eine Freundschaftsanfrage an das entsprechende Opfer. Ob das Opfer die Freundschaftsanfrage ablehnt oder annimmt ist hierbei irrelevant, denn an diesem Punkt beginnt Facebook bereits dem Angreifer Personen die er vielleicht bereits auch kennt einzublenden. Verbunden ist das Ganze dann mit der Option "Alle anzeigen". Die Personen die dem Angreifer dann an dieser Stelle vorgeschlagen werden sind allesamt Freunde des attackierten Opfers. Das funktioniert selbst dann, wenn die Privatsphäre-Einstellungen des Opfers nur für bereits existierende Freunde eingestellt sind.

Ein anschauliches Beispiel für eine Attacke findet sich unter:

http://www.quotium.com/research/advisories/Facebook_Vulnerability_Discloses_Private_Friends_list.php