Een beveiligingslek in Facebook maakte het mogelijk om van meer dan een miljard gebruikers het primaire e-mailadres te achterhalen, ongeacht hun privacyinstellingen. Het enige dat een aanvaller moest weten was het Facebook ID, dat openbaar is en in het profiel gevonden kan worden. Het probleem werd ontdekt door beveiligingsonderzoeker Stephen Sclafani.

Hij trof een herinnering van Facebookuitnodiging uit 2010 aan, die naar een mailinglist was gestuurd. De uitnodiging wees naar een Facebookpagina met het e-mailadres van de mailinglist en de naam van iemand die zich via de uitnodiging had aangemeld.

De link bevatte twee parameters, waarvan er eentje interessante informatie bleek te bevatten. De waarde van de parameter bleek een ID te zijn dat met het e-mailadres was geassocieerd waar de uitnodiging naar toe was verstuurd.

Beloning
Door de waarde met het Facebook ID van een willekeurig account te vervangen, werd het e-mailadres van dat account op de aanmeldpagina getoond. Het lek werd op 22 maart gerapporteerd en binnen 24 uur opgelost. Sclafani kreeg voor zijn melding 3500 dollar, aangezien Facebook hackers en onderzoekers beloont die kwetsbaarheden op verantwoorde wijze rapporteren.