A Facebook ugyan rendelkezik a hamis profilok kivédésére alkalmas rendszerrel, azonban a Brit Kolumbia Egyetem kutatói szerint az esetek 80 százalékában a védelem nem képes kiszűrni az automatizált programokat (avagy „botokat”).

A négytagú kutatócsapat (Yazan Boshmaf, Ildar Muslukhov, Konstantin Beznosov, és Matei Ripeanu) összesen 102 botot készített, amelyek feladata az emberi viselkedés imitációja volt, majd ezeket szabadjára engedték a közösségi hálózaton. Feladatuk az volt, hogy minél több felvett „barát” megosztott privát adatait gyűjtsék be.

A botok összesen 5053 véletlenszerű embernek küldtek barát felkérést, akiknek 20 százaléka jóvá is hagyta ezt. Általánosságban elmondható, hogy a női profillal rendelkező botokat nagyobb eséllyel vették fel, és a felvételi ráta rögtön háromszorosára ugrott, amint az átvert felhasználó ismerőseit kezdte a program célozni.

A jóváhagyás után a botok átnyálazták a felhasználók által megosztott tartalmakat, személyes adatok (többek közt: nem, kor, születési hely, idő, munkahely, jelenlegi, ideiglenes és korábbi tartózkodási helyek, fizikai és elektronikus cím, telefonszám, azonnali üzenetküldői címek és családi állapot) után kutatva. A kutatók azért állították le a tesztet, mert túl sok forgalmat generált: a nyolc hét alatt 3 gigabájtnyi feltöltött adatra 250 gigabájtnyi adat jött be.

Ez idő alatt a Facebook csupán 20 botot blokkolt, ráadásul nem hamis profil miatt, hanem spam bejelentés miatt. Az erre válaszul érkezett Facebook nyilatkozat szerint a kutatók metodikája hibás: ők ugyanis egy alapvetően megbízhatónak jelzett, egyetemi címről működtették a botokat, míg egy átlagos címről a detektálási ráta sokkal magasabb. A hivatalos válasz legalább két kérdést vet fel: egyfelől, mekkora is ez a ráta (mivel ezt nem kötötték a kutatók orrára), illetve tényleg komolyan gondolták-e, hogy egy egyetemi hálózatról csak megbízható forgalom jöhet?