Bon, essayons de comprendre comment fonctionne le système de Facebook. La première fois qu'un lien est partagé, le robot de Facebook examine la page partagée, en extrait le titre, la description et l'image miniature, y attribue un identifiant unique, et puis stocke ces informations.
La prochaine fois que Facebook affiche le lien, il récupère ces informations à partir de la base de données. Et il n'y a absolument rien de mal dans cette procédure. Petite précision: rien de mal quand ces données sont gardées secrètes.
Tous les objets stockés sur Facebook, que ce soit une image, un statut ou un lien, reçoivent un numéro d'identification unique. Un développeur peut demander un objet par son numéro à travers l'API Facebook, une interface pour les développeurs permettant de se connecter avec Facebook, qui renverra l'information correspondante seulement si vous avez l'autorisation d'y accéder. Cela signifie qu'on ne peut pas accéder aux informations privées de quelqu'un d'autre sans obtenir sa permission.
Mais cette logique se brise lorsque quelqu'un (hacker ou chercheur dans ce cas) crée un script spécial, pas trop difficile à rédiger, pour obtenir le numéro d'identification et découvrir d'autres liens.
[WRITE-UP] Why you shouldn't share links on @facebook. #bugbounty #privacy https://t.co/Ja7i5vypfs pic.twitter.com/kS2IR1jQbZ
— Inti De Ceukelaire (@securinti) 9 июня 2016 г.
Alors que vous ne partagez peut-être que des liens de vidéos en chats, cela n'exclut absolument pas le fait que vous soyez tout de même concerné. Parfois, des informations sensibles (données personnelles, liens cachés) sont inclues dans les liens sans même que vous le sachiez. Vous ne savez probablement pas combien d'info stocke une URL particulière, mais un hacker peut facilement y accéder.
