Le plus surprenant dans cette affaire est probablement que ce problème est longtemps passé inaperçu, ou du moins n'a pas été réellement éventé jusqu'à ce qu'un chercheur en sécurité et PDG de Secfence Technologies ne procède mercredi à une divulgation publique. Une découverte fortuite qui a donné lieu à la création d'une preuve de concept pour automatiser un processus de collecte d'informations personnelles.

Atul Agarwal a découvert qu'en dépit de tout réglage optimal des paramètres de confidentialité, il est possible d'obtenir de Facebook des réponses intéressantes alors que lors d'une tentative de connexion au réseau social un mot de passe erroné a été saisi. L'adresse e-mail est par contre bien valide. Avec cette combinaison qui ne devrait théoriquement rien donner, Facebook finit par donner accès à l'identification complète ( nom et prénom ) ainsi qu'à la photo du profil de l'utilisateur détenteur de l'adresse e-mail.

Pour Atul Agarwal, ce comportement qui fait donc fi des paramètres de confidentialité peut avoir une réelle utilité pour les adeptes d'attaques par phishing afin d'obtenir plus d'informations au sujet du propriétaire d'une adresse e-mail qu'il sera forcément plus facile de piéger en ayant connaissance de son nom réel. Une autre utilité est le fait de pouvoir vérifier la validité d'une adresse e-mail.

Ce problème finalement moins anodin qu'il n'y paraît au premier abord vient d'être corrigé par Facebook. Un " bug temporaire " et " récemment introduit " selon le réseau social qui compte plus de 500 millions de membres.