Recentemente li na mailing list do Full Disclosure, que é possível, utilizando um login incorrecto, saber se um email está associado a uma conta de Facebook. Caso esse email exista, a rede social vai retornar o nome e a fotografia associada ao perfil do utilizador.
O autor dessa descoberta publicou um script PoC em PHP que, com algumas alterações, poderá fazer muitos spammers felizes.
Segundo este artigo, a equipa do Facebook já está a resolver a situação.
Definitivamente, privacidade no Facebook é algo que não existe.
