La fonctionnalité de recherche de numéros de téléphone de Facebook peut être détournée pour trouver des numéros de téléphone et les noms de leurs propriétaires. Selon le chercheur en sécurité indépendant Suriya Prakash, « une telle attaque est possible parce que Facebook ne limite pas le nombre de recherches de numéros de téléphone pouvant être effectuées par un utilisateur depuis la version mobile de son site Web ».

Facebook permet aux utilisateurs d'associer leurs numéros de téléphone avec leur compte. En fait, pour tout nouveau compte, il est nécessaire de fournir un numéro de téléphone mobile. Il est aussi demandé pour déverrouiller des fonctionnalités comme le téléchargement de vidéos ou la personnalisation de l'URL de la timeline. Lorsque l'utilisateur ajoute son numéro de téléphone dans la section « Coordonnées » de sa page de profil Facebook, il peut préciser s'il veut que ces informations soient visibles « au public en général », « à mes amis seulement », ou s'il veut qu'elles restent visibles « pour moi uniquement», ce qui est la meilleure option de confidentialité.

Une option fixée par défaut

Facebook permet également aux utilisateurs de trouver d'autres personnes sur le site en lançant une recherche sur les numéros de téléphone de ces personnes au format international. La possibilité d'être localisé par son numéro de téléphone est paramétrable via les « Paramètres de confidentialité »> « Comment Se Connecter »> « Qui peut vous suivre en utilisant l'adresse email ou le numéro de téléphone que vous avez fournis ? ». Sauf que, par défaut, cette option est fixée à « tout le monde ». Cela signifie que même si l'utilisateur a choisi pour son numéro de téléphone l'option « pour moi uniquement » sur sa page de profil, quiconque connaît son numéro de téléphone sera toujours en mesure de le trouver sur Facebook, sauf s'il modifie le second paramètre et choisit « Amis» ou « Amis de mes amis ». Il n'y a aucune option pour empêcher « tout le monde » de localiser votre profil à l'aide de votre numéro de téléphone.

« Comme la plupart des gens ne changent pas la valeur par défaut de ce paramètre, il est possible pour un attaquant de générer une liste de numéros de téléphone séquentielles - par exemple les abonnées d'un opérateur spécifique - et d'utiliser la boîte de recherche de Facebook pour découvrir à qui ils appartiennent », a expliqué le chercheur en sécurité. « Pouvoir associer un numéro de téléphone quelconque à un nom est le rêve de tout annonceur, et ce genre de listes pourrait se vendre à des prix records au marché noir », a t-il ajouté.