Η μαζική συλλογή ιδιωτικών λιστών με φίλους, είναι ένα χαρακτηριστικό και όχι bug, σύμφωνα με το Facebook, το οποίο έχει απορρίψει μια λεπτομερή αναφορά μιας υποτιθέμενης παραβίασης της ιδιωτικής ζωής στο site.
Το γιγαντιαίο κοινωνικό δίκτυο απέρριψε την έκθεση του ερευνητή ασφάλειας Shay Priel που έδειξε πώς οι επιτιθέμενοι θα μπορούσαν να χρησιμοποιήσουν τη λειτουργία «κοινούς φίλους» για να δείτε τμήματα της ιδιωτικής λίστας φίλων του χρήστη.
Ο Priel ανέφερε την απάντηση του Facebook:
Θυμηθείτε: Οι φίλοι σας ελέγχουν ποιος μπορεί να δει τις φιλίες τους στο δικό τους χρονοδιαγράμματα. Αν οι άνθρωποι μπορούν να δουν τους φίλους σας σε ένα άλλο χρονοδιάγραμμα, θα είναι σε θέση να τους δουν στο News Feed και να κάνουν αναζήτηση και σε άλλα μέρη στο Facebook
. Θα είναι επίσης σε θέση να δουν τους κοινούς φίλους στο timeline σας.Οι κοινοί φίλοι θα μπορούν να αποκαλυφθούν από τους ιδιωτικούς καταλόγους με τη σύγκριση δύο προφίλ χρηστών του Facebook. Θα μπορούσε να κλειδωθεί μόνο αν όλοι οι φίλοι σε μια συγκεκριμένη λίστα βελτιώσουν τις ρυθμίσεις απορρήτου στο προφίλ τους.
Ο Priel, μετά την απόρριψη από το Facebook, δημοσίευσε ένα εργαλείο για να μαζέψει αυτόματα λίστες κοινών φίλων που θα μπορούσαν να βοηθήσουν τους επιτιθέμενους στην δημιουργία έξυπνων και στοχευμένων phishing εκστρατειών με malware.
Το εργαλείο αναζήτησε μέσα από μια λίστα κοινούς φίλους, εντοπίζοντάς τους και στη συνέχεια τους αποθήκευσε σε αρχείο.