В один прекрасный день, приходит смс-уведомление от Facebook, о том, что что Д.И. прокомментировал публикацию, ну и в теле сообщения короткая ссылка на комментарий. Что странно, так это то, что до этого момента Facebook подобными уведомлениями меня не радовал)).
Собвственно, в чём заключается проблема будет описано ниже, поэтапно:
- Приходит смс содержащие ссылку https://fb.com/l/some_hash (Pic.1)

- Пользователь переходит по ссылке из смс (Mobile UA) и получает форму ввода логина и пароля (при условии, что не авторизован) (Pic.2)

- Далее, чтобы просмотреть содержимое полученной ссылки, пользователь проходит процедуру авторизации и просматривает контент скрытый за ссылкой (Pic.3)

- Если же, использовать Desktop UA, то происходит извлечение номера на который было отправлено смс с короткой ссылкой (Pic.4)

- Можно предположить, что ссылка + номер имеет отношение к тем людям, которые делятся контентом на основании которого генерируется ссылка и рассылается смс пользователям
- Ссылки формата https://fb.com/l/<some_hash> легко добываются запросами через Google (google://site:https://fb.com/l/) образуя базу ссылок (Pic.5)

- Далее с помощью скрипта запросы https://fb.com/l/<some_hash> автоматизируются и парсятся (Pic.6,7)


Следовательно, стоит рассмотреть кейс с попаданием СОДЕРЖИМОГО СМСКИ в третьи руки, и т.к. содержимое смски не несёт в себе какой-либо конфиденциальной информации для пользователя, а только короткую ссылку на пост/уведомление, то пользователи могут без особого труда делиться ссылками и содержимым смс сообщений и выкладывать их в публичный доступ.
Следовательно, с извлечением номера и имени в начале смски (e.g. Alexander, Дмитрий Иванов прокомментировал публикацию: https://fb.com/l/by7<…>EI9 , в итоге злоумышленнику доступны имя + номер сотового.
Всё вышеизложенное было отправлено в ФБ, на что был получен вот такой вот ответ, который в принципе меня не удивил ни разу:

- Правильные вопросы без ответов:
- Какой TTL ссылок?
- Есть ли он вообще?
- Вы действительно думаете, что ФБ заботится о ваших персональных данных? 😃