Данные пользователей геолокационного сервиса Foursquare могут стать публичными, даже если их раскрывают только ограниченному числу друзей.
Идея геолокационного сервиса заключается в том, что люди отмечаются в местах, которые они посещают, и могут видеть, где сейчас находятся их друзья.
Джеспер Андерсен создал сервис Avoidr.org, позволяющий на основе информации Foursquare решать противоположную задачу - создавать списки нежелательных людей, видеть, где они отмечаются, и обходить стороной эти места. Кроме того, автор Андерсен наглядно продемонстрировал насколько уязвимой является система обеспечения конфиденциальности Foursquare.
Если посмотреть на страницы конкретных точек в веб-версии Foursquare, можно увидеть набор из 50 юзерпиков пользователей, которые бывали в том или ином месте – вне зависимости от того, открывают пользователи данные о своих перемещениях только друзьям, или "отмечаются" публично. Как только кто-то новый отмечается в неком заведении, его юзерпик появляются в списке на странице заведения.
Андерсен отследил "передвижения юзерпиков" на страницах заведений Сан-Франциско, и записал их. Так он получил списки пользователей, отмечавшихся в тех или иных точках, и списки точек, в которых отмечаются определенные люди. В этом списке оказалось много пользователей, которые не собирались делиться информацией о себе со всеми подряд.
Работники Foursquare отреагировали на сообщение об уязвимости оперативно, и исправили ошибку, извинившись перед пользователями. Кроме того были введены дополнительные функции контроля уровней доступа.