Facebook gaat actief op internet naar gestolen wachtwoorden speuren om zo de accounts van gebruikers te beschermen. Volgens de sociale netwerksite komt het geregeld voor dat aanvallers de inhoud van gehackte websites op internet plaatsen. Dit kan gevolgen hebben voor mensen die hetzelfde wachtwoord voor meerdere websites gebruiken, iets wat volgens Facebook vaak voorkomt en zeer risicovol is.

Om te voorkomen dat een gelekt wachtwoord inhoudt dat aanvallers op de Facebookaccounts van gebruikers kunnen inloggen monitort Facebook een aantal "dumpsites" die aanvallers vaak voor het lekken van inloggegevens gebruiken. "We verzamelen de gestolen inloggegevens die op publieke websites zijn geplaatst en controleren ze om te kijken of de gestolen e-mailadres en wachtwoordcombinatie overeenkomt met hetzelfde e-mailaders en wachtwoord dat op Facebook wordt gebruikt", zegt Facebook-engineer Chris Long.

Hij merkt op dat dit een geheel geautomatiseerd proces is waarbij Facebook het echte Facebookwachtwoord niet hoeft te weten of onversleuteld opslaat. "Niemand hier heeft je wachtwoord in platte tekst", stelt Long. Om te kijken of er een match is gebruikt Facebook de gestolen inloggegevens en haalt ze door dezelfde code die het gebruikt om de inlogpogingen van echte gebruikers te controleren. Als er en match is wordt de gebruiker de volgende keer dat hij inlogt gewaarschuwd en zal vervolgens zijn wachtwoord moeten wijzigen.