Как именно кибервзломщики получают доступ к конфиденциальной информации, не всегда понятно, но в этом часто винят защитные системы социальных сетей, в первую очередь Facebook. В марте 2010 года ошибка программного обеспечения на 30 минут открыла все электронные адреса пользователей, в мае брешь в системе безопасности позволила с помощью примитивного трюка читать приватные сообщения, которые пользователи отправляли друзьям в чате. В том же месяце Facebook пришлось устранять и недоработку, позволявшую хакерам легко внедряться в профили, — этот недочет обнаружил аналитик по вопросам безопасности М. Дж. Кейт из фирмы Alert Logic. К тому же стало известно, что из-за системной ошибки рекламодателям передаются не только анонимные данные, но и имена пользователей, которые должны были быть скрыты. «Иногда программное обеспечение дает сбой, и это, конечно, плохо. Но наш главный принцип — не передавать персональную информацию рекламодателям», — прокомментировал впоследствии этот случай Цукерберг.

Ученые тоже часто указывают на пробелы в безопасности социальных сетей. Например, в апреле 2010 года Гилберт Вондрачек из Университета Вены предупреждал о так называемых «деанонимизирующих атаках», которые можно с легкостью осуществить на XING и Facebook. При этом хакеры могут сложить воедино открытые списки участников групп, информацию из истории поиска пользователя и конкретные профили. Как объяснил мне во время нашей беседы Вондрачек, эти данные впоследствии могут применяться для отправки спама, кражи номеров кредиток и счетов или, в худшем случае, для жесткого прессинга пользователей. Он указал владельцам социальных сетей на их слабые места (например, простой идентификационный номер в Facebook, который есть у каждого пользователя, можно слишком легко определить). Но его слова взял на заметку только XING.

Другая проблема — кнопка Like: как выяснил Арнаб Нанди из Мичиганского университета, ею можно легко манипулировать. Под видом безобидного контента, например фотографии котенка, может скрываться нечто совсем иное, например реклама. Нажав на Мне нравится, пользователь автоматически выражает ей свое одобрение. Поскольку о клике по этой кнопке оповещаются друзья, пользователь против воли сам становится спамером — ведь, получается, он пересылает сообщения, содержащие ссылки на фишинговые сайты или на мошеннические объявления.

По данным американской гражданской организации Electronic Frontier Foundation (EEF), Facebook особенно активно выдает данные о пользователях в следственные органы. В соответствующие организации поступает такая информация о подозреваемых, как фотографии, списки друзей, участие в группах или IP-адреса. Документ под названием Facebook Subpoena/Search Warrant Guidelines подробно описывает, какие именно сведения предоставляются следователям. В перечень должны входить ID пользователя, адрес его электронной почты или другие данные вроде дня рождения или адреса, которые позволят с уверенностью сказать, что именно этот профиль принадлежит такому-то подозреваемому. После этого Facebook может выдать полный вид профиля, полное собрание всего загруженного контента, фотографии (если только они не удалены), все контактные данные (от телефона до адреса), список всех членов соответствующей группы и все IP-логи, которые позволяют понять, на какие страницы, в какое время и с какого IP-адреса заходил конкретный человек.

Продолжать или выйти из игры?

Напоследок зададимся вопросом: регистрироваться или уходить, продолжать или отказаться, быть в Facebook или бежать прочь? В этой главе я перечислил перемены и опасности, которые несет социальная сеть, но принять за вас однозначное решение, сохранить вам ваш аккаунт или стереть его, я не могу. Поэтому я хочу еще раз обратить ваше внимание на основные права и обязанности, которые мы берем на себя, подписываясь под пользовательским соглашением, — увы, его мало кто читает.

Этот пункт позволяет Facebook транслировать в другие профили или на посторонние сайты, интегрировавшие социальный плагин (например, кнопку Like), все фото, видео, обновления статусов и т. д., причем их автор не может потребовать за это оплату.

Все данные, которые удаляются из профиля, определенное время хранятся на серверах компании.