Een kwetsbaarheid in de dienst "Inloggen met Facebook" heeft een beveiligingsonderzoeker 55.000 dollar opgeleverd. Eén van de hoogste beloningen die Facebook ooit voor een bugmelding heeft uitgekeerd. Via Inloggen met Facebook is het mogelijk om met een Facebookaccount bij een andere partij in te loggen.

Via de kwetsbaarheid was het mogelijk om de toegangstokens te stelen die tussen Facebook.com en de andere website werden uitgewisseld. Facebook bleek de communicatie met de andere website niet goed te beveiligen, waardoor een aanvaller het token had kunnen kapen. Vervolgens was het met deze toegangstokens mogelijk om accounts van de gebruiker over te nemen.

"Kwaadaardige websites kunnen op hetzelfde moment toegangstokens voor de populairste apps stelen en toegang tot meerdere diensten krijgen, zoals Instagram, Oculus, Netflix, Tinder en Spotify", aldus onderzoeker Amol Baikar die het probleem ontdekte. Om de aanval uit te voeren moest het slachtoffer wel eerst een kwaadaardige of gecompromitteerde website bezoeken, waarna de toegangstokens zonder enige interactie konden worden gestolen.

Baikar waarschuwde Facebook op 16 december. Dezelfde dag kwam Facebook met een oplossing. Op 3 januari ontdekte de onderzoeker dat de oplossing was te omzeilen, waarna de sociale netwerksite op 10 januari met een nieuwe fix kwam. Op 21 februari kreeg Baikar een beloning van 55.000 dollar toegekend. Volgens de onderzoeker de hoogste beloning die Facebook ooit heeft uitgekeerd voor een "client-side account take over".