Facebook heeft per ongeluk de privégegevens van gebruikers gelekt, die daardoor mogelijk in handen van adverteerders zijn gekomen, zo waarschuwt beveiligingsbedrijf Symantec. Het ging om toegang tot profielen, foto's en chatberichten. Daarnaast konden derden ook berichten plaatsen en persoonlijke informatie verzamelen. "Gelukkig hadden deze derde partijen niet door dat ze toegang tot deze informatie hadden", zegt Nishant Doshi.

Het probleem deed zich voor bij Facebook Iframe applicaties, die per ongeluk de tokens naar deze partijen of analysesoftware lekten. Symantec schat dat het lek bij zo'n 100.000 applicaties aanwezig was en dat de afgelopen jaren miljoenen toegangstokens naar derde partijen gelekt zijn.

Wachtwoord
De Facebook applicaties genereren deze tokens om bepaalde acties in naam van de gebruiker uit te voeren of toegang tot het gebruikersprofiel te krijgen. De meeste tokens verlopen na een bepaalde tijd, de applicatie kan echter een offline token aanvragen, waarmee het mogelijk is om die tokens te blijven gebruiken, ook al is de gebruiker niet ingelogd. De toegang eindigt pas als de gebruiker zijn wachtwoord wijzigt. Doordat Facebook oudere authenticatiemethoden ondersteunde, was het mogelijk dat deze tokens als onderdeel van een HTTP request bij een adverteerder terechtkwamen.

"Er is geen goede manier om te schatten hoeveel tokens sinds de release van Facebook applicaties in 2007 zijn gelekt", zegt Doshi. Hij vreest dat veel tokens nog steeds in de logbestanden van derde partijen beschikbaar zijn of zelfs actief door adverteerders gebruikt worden. Gebruikers die zich zorgen maken krijgen dan ook het advies om hun wachtwoord te wijzigen, omdat de tokens zo ongeldig worden.