Facebook propose à ses utilisateurs d'ajouter à leur page un panel de petits programmes pour calculer le QI, des quizz ou des tests. Click a donc crée une application appelée Miner pouvant prendre la forme d'un jeu, d'un test ou encore d'une blague du jour. « N'importe quelle personne possédant des connaissances en programmation web peut crée une telle application », précise l'équipe - heureusement, on ne s'improvise pas programmeur. Après avoir ajouté ce programme à quatre profils Facebook, les « pseudo-pirates » ont eu accès à leurs données sécurisées, mais aussi à celles de leurs proches.
« En fait, la seule manière de se protéger serait d'effacer toutes ces fonctionnalités et de choisir de ne plus les utiliser à l'avenir (...) Parce qu'elles tournent sur des serveurs tiers, et non gérés par Facebook, il est difficile pour l'entreprise de vérifier ce qui s'y passe, si quelque chose a changé, combien de temps ces programmes stockent les données et ce que les tiers font avec », ont expliqué les auteurs de la démonstration.
Pour sa défense, le réseau social invoque les conditions d'utilisation de Facebook. Ces conditions, l'utilisateur doit les accepter avant d'ajouter de nouvelles fonctions, ce qui « autorise le développeur à demander l'accès aux données confidentielles du profil, à l'exception de ses contacts ». Par ailleurs, un avertissement signale que des désagréments pourraient se produire. Cependant, la possibilité d'interdire aux applications d'accéder à des données privées conditionne généralement leur bon fonctionnement. Facebook encourage ses membres à rester vigilants lorsqu'ils ajoutent des applications, comme ils le feraient lorsqu'ils téléchargent un logiciel sur leur poste. Le vol d'identité est effectivement un danger sérieux, rendant même possible l'accès aux comptes bancaires et aux moyens de paiements des victimes.
Enfin, l'équipe de Click affirme ne pas avoir été en mesure de réaliser la même opération sur le réseau social concurrent de Facebook, MySpace (News Corp), évoquant « sa capacité à suivre et à contrôler les actions des développeurs, puisque le site héberge (leurs applications) sur ses propres serveurs ». Un paramètre suffisamment rassurant ?