Een beveiligingslek in Facebook maakte het mogelijk voor aanvallers om het primaire/verborgen e-mailadres van alle gebruikers te achterhalen, wat bijvoorbeeld voor phishingaanvallen kon worden gebruikt. Facebookgebruikers kunnen groepen aanmaken en verschillende rollen aan andere personen toekennen. Als personen al in de vriendenlijst van de gebruiker voorkomen zullen ze de rol automatisch toegekend krijgen.
Is de persoon in kwestie geen vriend van de gebruiker, dan zal die eerst een uitnodiging ontvangen die moet worden bevestigd. De gebruiker kan dit verzoek echter ook weer intrekken. In het geval dit via de mobiele versie werd gedaan bleek de knop om het verzoek in te trekken naar een url te wijzen die het e-mailadres van de uitgenodigde persoon bevatte, zo ontdekte onderzoeker Tommy DeVoss. Facebook werd op 25 november ingelicht en rolde op 14 december een oplossing uit om het probleem te verhelpen. DeVoss kreeg voor zijn melding een beloning van 5.000 dollar.
Deze posting is gelocked. Reageren is niet meer mogelijk.