A ZDNet értesülései szerint, ha a felhasználó a bejelentkezésnél rosszul írja be a jelszót, a rendszer automatikusan egy, a hibát jelző oldalra továbbítja. Itt megjelenik az adott profilhoz tartozó fénykép, sőt, a felhasználó e-mail címe is. Az eredetileg segítő szándékkal beépített funkció azonban olyan adatokat árul el, amely visszaélésekre adhat okot.

Ugyanis a rendszer nem feltétlenül azt az e-mail címet jeleníti meg, amelyet a felhasználó a bejelentkezéshez használ. Ha egy adott cím bárhol szerepel a felhasználó profiljában, az adatvédelmi beállításoktól függetlenül megjelenik a hibás bejelentkezésre figyelmeztető oldalon.

A ZDNet szerkesztői kapcsolatba léptek a hibát leleplező Atul Agarwallal, aki a Secfence Technologies Full-disclosure nevű blogján tárta a nyilvánosság elé a biztonsági rést. Az informatikus egy PHP-script segítségével arra is képes volt, hogy számos e-mail cím segítségével kibányássza ezeket az adatokat a rendszerből.

„A Facebook felhasználóinak nincs erre semmiféle ráhatása, ugyanis ez a funkció akkor is működik, ha az adatvédelmi beállításokat megfelelően elvégeztük” – írta Agarwal blogbejegyzésében. „Ennek segítségével rendkívül egyszerű összegyűjteni ezeket az címeket, s ehhez csupán néhány proxy gépre van szükség.”

ZDNet.com

A ZDNet egyik szerkesztője megerősítette az értesülést. Mint a fenti képen látható, a rendszer által kiírt @cbs.com végződésű cím nem az, amelyet a bejelentkezéshez használ, a hibásan beírt jelszó esetén azonban a Facebook megjeleníti azt, akár illetéktelen felhasználók számára is.