Еще одно поле деятельности для киберпреступников — торговля украденными аккаунтами в Facebook, так называемый «киберсквоттинг». Это, как правило, интересно спамерам, которые хотят построить с другими пользователями доверительные отношения, чтобы потом делать им предложения сомнительного рекламного содержания. Например, в мае 2010 года стало известно, что хакер с никнеймом Kirllos выставил на продажу 1,5 миллиона логинов и паролей пользователей. Взломав аккаунты электронной почты с помощью подбора паролей, он рассортировал их в пакеты по тысяче аккаунтов и предлагал каждый пакет за 25–45 долларов, то есть за один аккаунт просил всего 2,5 цента. Своими демпинговыми ценами он «подставил» других киберпреступников, которые, торгуя аналогичными данными, выручали по 20 долларов за штуку. Эксперты по безопасности компании veriSign считают, что Kirllos мог продать 700 тысяч доступов к аккаунтам.

Как именно кибервзломщики получают доступ к конфиденциальной информации, не всегда понятно, но в этом часто винят защитные системы социальных сетей, в первую очередь Facebook. В марте 2010 года ошибка программного обеспечения на 30 минут открыла все электронные адреса пользователей, в мае брешь в системе безопасности позволила с помощью примитивного трюка читать приватные сообщения, которые пользователи отправляли друзьям в чате. В том же месяце Facebook пришлось устранять и недоработку, позволявшую хакерам легко внедряться в профили, — этот недочет обнаружил аналитик по вопросам безопасности М. Дж. Кейт из фирмы Alert Logic. К тому же стало известно, что из-за системной ошибки рекламодателям передаются не только анонимные данные, но и имена пользователей, которые должны были быть скрыты. «Иногда программное обеспечение дает сбой, и это, конечно, плохо. Но наш главный принцип — не передавать персональную информацию рекламодателям», — прокомментировал впоследствии этот случай Цукерберг.

Ученые тоже часто указывают на пробелы в безопасности социальных сетей. Например, в апреле 2010 года Гилберт Вондрачек из Университета Вены предупреждал о так называемых «деанонимизирующих атаках», которые можно с легкостью осуществить на XING и Facebook. При этом хакеры могут сложить воедино открытые списки участников групп, информацию из истории поиска пользователя и конкретные профили. Как объяснил мне во время нашей беседы Вондрачек, эти данные впоследствии могут применяться для отправки спама, кражи номеров кредиток и счетов или, в худшем случае, для жесткого прессинга пользователей. Он указал владельцам социальных сетей на их слабые места (например, простой идентификационный номер в Facebook, который есть у каждого пользователя, можно слишком легко определить). Но его слова взял на заметку только XING.

Другая проблема — кнопка Like: как выяснил Арнаб Нанди из Мичиганского университета, ею можно легко манипулировать. Под видом безобидного контента, например фотографии котенка, может скрываться нечто совсем иное, например реклама. Нажав на Мне нравится, пользователь автоматически выражает ей свое одобрение. Поскольку о клике по этой кнопке оповещаются друзья, пользователь против воли сам становится спамером — ведь, получается, он пересылает сообщения, содержащие ссылки на фишинговые сайты или на мошеннические объявления.

По данным американской гражданской организации Electronic Frontier Foundation (EEF), Facebook особенно активно выдает данные о пользователях в следственные органы. В соответствующие организации поступает такая информация о подозреваемых, как фотографии, списки друзей, участие в группах или IP-адреса. Документ под названием Facebook Subpoena/Search Warrant Guidelines подробно описывает, какие именно сведения предоставляются следователям. В перечень должны входить ID пользователя, адрес его электронной почты или другие данные вроде дня рождения или адреса, которые позволят с уверенностью сказать, что именно этот профиль принадлежит такому-то подозреваемому. После этого Facebook может выдать полный вид профиля, полное собрание всего загруженного контента, фотографии (если только они не удалены), все контактные данные (от телефона до адреса), список всех членов соответствующей группы и все IP-логи, которые позволяют понять, на какие страницы, в какое время и с какого IP-адреса заходил конкретный человек.