นักวิจัยด้านความปลอดภัย Inti De Ceukelaire ได้เขียนลง Medium ของเขาว่า พบวิธีส่องดูลิงก์ส่วนตัวที่ผู้ใช้แชร์ระหว่างกันใน Facebook Messenger ด้วยการใช้ Facebook Graph API
ก่อนจะเข้าสู่รายละเอียดของการทดสอบนี้ De Ceukelaire อธิบายเรื่องการจัดการเรื่องลิงก์ของ Facebook ไว้ว่า เมื่อผู้ใช้แชร์ลิงก์ลง Facebook ด้วยทางใดก็ตาม ระบบ Facebook Crawler จะเก็บรายละเอียดของเว็บเช่นหัวเรื่อง, รายละเอียดและภาพประกอบของเว็บพร้อมทั้งกำหนด unique id ขึ้นมาให้ลิงก์นี้ จากนั้นจะเก็บข้อมูลทั้งหมดลงฐานข้อมูลไว้ ต่อมาเมื่อมีผู้ใช้นำลิงก์มาแชร์ลง Facebook อีกครั้ง ระบบก็ดึงข้อมูลของเว็บจากฐานข้อมูลที่เคยเก็บไว้มาแสดงได้ทันที ไม่ต้องเสียเวลาดึงข้อมูลซ้ำอีกรอบ
De Ceukelaire บอกว่าจริงๆ แล้วข้อมูลบน Facebook ทั้งหมดก็จัดการด้วย unique id ทั้งนั้น จึงทำให้นักพัฒนาสามารถเรียกดูข้อมูลผ่าน Facebook Graph API Explorer ด้วย id เหล่านั้นได้อย่างง่ายดาย เช่น นำ user id ไปกรอกก็จะได้ชื่อออกมา แต่มีข้อแม้เดียวว่าข้อมูลใดๆ ที่ถูกตั้งเป็นส่วนตัวไว้ก็ไม่สามารถเข้าถึงได้เหมือนกัน
De Ceukelaire จึงเริ่มทดสอบด้วยการสร้างไฟล์ Google Docs ขึ้นมา โดยในนั้นมีรหัสผ่านพิมพ์ไว้ จากนั้นส่งลิงก์ไปหาเพื่อนทาง Facebook Messenger ตอนนี้เองที่ลิงก์ถูกเก็บข้อมูลลงฐานข้อมูลแล้ว เค้าจึงให้เพื่อนใช้เครื่องมือ Facebook Debugger หา unique id ซึ่งมันปรากฎเป็นลิงก์ Graph API นั่นเอง เมื่อนำเลขนั้นไปผ่าน Graph API Explorer โดยเติม ?fields=url ต่อท้าย ผลปรากฎว่า Facebook แสดง url ของเว็บนั้นๆ ขึ้นมาซะอย่างงั้น เค้าจึงทดสอบอีกครั้งโดยการทำ script ขึ้นมา โดยสุ่ม unique id ไปเรื่อยๆ แล้วใช้ Graph API ในการค้นหาผลลัพธ์ ผลปรากฎว่ามีลิงก์ที่ Facebook เก็บข้อมูลไว้แสดงออกมา
เค้าจึงรายงานปัญหานี้ให้ทาง Facebook ทราบ คำตอบที่ได้รับกลับมาคือ Facebook ตั้งใจทำสิ่งนี้อยู่แล้ว ไม่ใช่บั๊กแต่อย่างใด และเค้าเองก็ไม่สามารถใช้งานเครื่องมือสำหรับนักพัฒนาของ Facebook ได้อีกด้วย เนื่องจากมีการเรียกใช้ข้อมูลมากเกินไป ถ้าคำตอบของ Facebook เป็นแบบนี้แล้ว คำตอบที่ดีที่สุดสำหรับผู้ใช้อย่างเราๆ ก็คงต้องหลีกเลี่ยงการแชร์ลิงก์ส่วนตัวที่สำคัญลงสังคมออนไลน์แล้วหละครับ
ที่มา : Inti De Ceukelaire Blog ผ่าน The Next Web