Een beveiligingslek dat ervoor zorgde dat kwaadaardige Facebook-apps toegang tot de privéfoto's van Facebookgebruikers konden krijgen is binnen 30 minuten gedicht nadat de sociale netwerksite was ingelicht, zo heeft de onderzoeker die het probleem ontdekte laten weten. De mobiele app van Facebook biedt de optie om foto's op de smartphone via de "Sync photos-optie" te synchroniseren. Daarmee is het mogelijk om tot 2GB aan foto's bij Facebook te back-uppen.

De foto's blijven privé en afgeschermd totdat de gebruiker beslist ze te publiceren. Volgens onderzoeker Laxman Muthiyah staat het synchroniseren van foto's via de app op sommige telefoons standaard ingeschakeld. De meeste gebruikers zouden dit echter niet weten. Om de opgeslagen privéfoto's te benaderen vraagt de Facebookserver om een toegangstoken. Er werd echter niet naar de applicatie gekeken die het verzoek deed.

Daardoor zouden alle applicaties op de smartphone met de user_photos-permissie de opgeslagen foto's kunnen benaderen. De onderzoeker stelt dat er veel Facebook-apps zijn die deze permissie vragen om publieke foto's van de gebruiker te kunnen lezen. Via de kwetsbaarheid zouden ze echter ook de niet gepubliceerde privéfoto's kunnen benaderen. Nadat Muthiyah het probleem bij Facebook rapporteerde werd het binnen 30 minuten verholpen en kreeg de onderzoeker als beloning 10.000 dollar.