Theo các Hacker, Facebook đang chối bỏ một thiếu sót nghiêm trọng của mình bằng cách giới hạn các ứng dụng truy cập vào thông tin về những người sử dụng facebook của các chuyên viên thiết kế.
Theo Hatter và ErrProne (2 thành viên của nhóm hacker Blackhat Academy), vấn đề xuất hiện khi giao diện chương trình ứng dụng làm việc. Điều này sẽ gây ra những lỗi thay đổi mật khẩu trái phép.
Các ứng dụng trên facebook đều sử dụng dạng ngôn ngữ câu hỏi đặc biệt để tìm hiểu và mô tả thông tin của người dùng được lưu trong cơ sở dữ liệu mạng xã hội. Dạng ngôn ngữ độc quyền này có tính truyền tải tốt, giúp các thông tin được công khai và cho phép tất cả mọi người đều có thể đọc được.
Thông thường Facebook sẽ yêu cầu sử dụng mật khẩu của chương trình ứng dụng ( phương thức nhận dạng duy nhất cho mỗi ứng dụng trên facebook) để đưa ra các câu hỏi nhạy cảm về thông tin riêng của người dùng như địa chỉ email thông qua dạng ngôn ngữ câu hỏi đặc biệt trên facebook, tuy nhiên rất nhiều thông tin khác có thể bị khai thác từ cơ sở dữ liệu mà không cần tuân thủ bất kỳ quy tắc nào. Thậm chí 2 hacker đã cung cấp cả working proof-of-concept code (mã chứng minh khái niệm hoạt động) trong chương trình tư vấn của họ.
Theo hatter, những mật khẩu giao diện chương trình ứng dụng (API) có sức mạnh rất lớn tại thời điểm chúng được phát hành và thật đơn giản để có được mật khẩu này. Một lập trình viên cố tình làm lộ thông tin người dùng có thể đánh cắp mật khẩu API khi liên kết ứng dụng trong quá trình phát triển. Các ứng dụng cũng có thể xâm nhập vào nhều dự liệu hơn trong thời gian xây dựng trước khi chúng được công bố; Sau khi Facebook giới thiệu một ứng dụng, nó chỉ cho phép truy cập vào các dữ liệu mà ứng dụng đó cần hoạt động.
Tuy nhiên, những kẻ tấn công thậm trí còn không cần tới mật khẩu API để khai thác dữ liệu. Chúng có thể cài thêm vào mật khẩu đó một ứng dụng hợp pháp hóa bằng cách cài hồ sơ của chúng lên ứng dụng đó và duy trì ứng dụng bằng các yêu cầu thông tin với các địa chỉ id của người dùng đã thay đổi. Phương pháp này có thể đuợc sử dụng để thu thập thông tin từ những người dùng khác(ngay cả khi những người dùng này chỉ chia sẻ thông tin với bạn của họ) bằng ứng dụng đã được cài sẵn, tùy thuộc vào những giới hạn cho phép của ứng dụng đó.
Đội ngũ bảo mật của Facebook có thể giải quyết nhanh chóng vấn đề này, nhưng những kẻ tấn công vẫn có đủ thời gian để chộp lấy những thông tin mà chúng muốn trước khi bị ngăn chặn.
Theo các hatter, Blackhat Academy đã lưu ý Facebook về vấn đề này từ 2 tháng trước và hội đồng này đã quyết định công bố các chi tiết chỉ vì người khổng lồ trong thế giới mạng xã hội (facebook) không chia sẻ những mối quan tâm của họ.
Phát ngôn viên của Facebook đã tuyên bố rằng “Cái mà mọi người gọi là dạng ngôn ngữ câu hỏi đặc biệt của facebook chỉ đơn giản là hoạt động theo dự dịnh của các giao diện chương trình ứng dụng của Facebook Platform”.
Phát ngôn viên này cũng nói thêm rằng, “Chúng tôi cũng có một đội ngũ tận tình để thực hiện một cuộc kiểm tra kỹ lưỡng việc truy cập các ứng dụng các giao diện chương trình ứng dụng của chúng tôi. Đội ngũ này sử dụng cách tiếp cận rủi do, việc quan sát tốc độ của các ứng dụng như đã được xác định bằng lượng người dùng hoặc các phần dữ liệu được chia sẻ, ngoài ra khi một ứng dụng chưa tốt do chúng tôi sử dụng hoặc tạo ra, chúng tôi đều loại bỏ hoặc chỉ chấp nhận sau khi ứng dụng đó có thể truy cập dữ liệu.”