Bardóczi Ákos küldte az alábbi szösszenetet arról, hogyan szivárognak ki a fácséra feltöltött képeink a tagelési funkción keresztül:

Most kezdtem el komolyabban foglalkozni az Facebook API-val és teljesen véletlenül találtam valamit, ami ismét csak a sokszor kritizált fotóalbum policy-t érinti.

Akár észrevette előttem valaki, akár nem, a bug igencsak húzós, egyszerűen azért, mert sok az érintett felhasználó, akik a fotóik láthatóságának beállításakor egyszerűen nem gondolnak például arra a lehetőségre, amit most leírok.

Lényeg, hogy a fotóalbumokban lévő fotó címkézése után a fotó láthatóvá válhat olyan felhasználó vagy applet számára is, ami egyébként erre nem lenne jogosult, azt nem tudom, hogy konkrétan a hiba mennyire kihasználható.

Amit a gyanum után teszteltem és működött is: tételezzük fel, hogy Aladár létrehoz egy albumot benne egy képpel, majd az album policy-ját úgy állítja be, hogy az abban lévő képeket kizárólag Béla lássa, akit megjelöl az albumban lévő fotón. Ezt követően, ha Béla megjelöli egy ismerősét, Cilikét az adott fotón, aki viszont Aladárnak nem is ismerőse, akkor Cilike számára láthatóvá válik az az album, aminek a hozzáférését Aladár elvileg úgy állította be, hogy azt csak Béla tudja megnézni. (Kicsit tovább gondolva - ha Cilike általános fotópolicy-ja olyan, hogy a képeit mindenki meg tudja nézni, az érvényes lesz arra a képre is, amit Aladár eredetileg teljesen rejtettnek szánt, azaz a FB összes júzere láthatja majd.) Ezt követően kipróbáltam, hogy mi történik akkor, ha Aladár az album láthatóságát úgy adta meg, hogy annak tartalmát kizárólag ő maga láthassa - a helyzet ugyanaz, azaz ha Béla taggelve van, ő is látja, ha ő taggelte Cilikét, akkor ő is, legrosszabb forgatókönyv szerint pedig Cilikén keresztül az egész
világ.

Nem volt még időm jobban utána kotorni a dolognak, de nagyon úgy fest, hogy akár appletről van szó, akár egy fent leírt hipotetikus esetről, amikor egyszerűen csak felhasználók nézegetik egymás képeit, az album policy-t egyszerűen nem veszi figyelembe a taggelési feature.

Ez mindenesetre ütős ahhoz képest, hogy pont az utóbbi időben a Facebook bátorította felhasználóit, hogy taggelgessék egymást, valamint több ezer, ha nem több tízezer idióta kisalkalmazás címkéz képeket jó esetben a felhasználók szives beleegyezése után.

Lehet rá mondani, hogy de gagyi, meg hülye júzer, meg közösségi hálóra eleve nem tölt fel fehér ember olyan tartalmat, amit nem akar megosztani, kapcsolódva ahhoz, amit az előző bekezdésben és a levél elején írtam - a kockázatot pont az teszi naggyá, hogy technikai szempontból viszonylag triviális, mégis sok felhasználót érint.