Компания Symantec опубликовала в своём блоге уведомление о том, что ошибка в интерфейсе программирования веб-приложений для Facebook позволила им получать практически неограниченный доступ к аккаунтам пользователей социальной сети, включая информацию о пользователях, фото и личную переписку. Создатели сторонних приложений, скорее всего, просто не подозревали, что такая возможность существует, заявляет Symantec. Facebook была извещена о присутствии уязвимости и приняла меры по её устранению.
Код IFRAME, интегрированный, по оценке Symantec, почти в 100 тысяч приложений, на протяжении нескольких лет «сливал» пользовательские данные рекламным и аналитическим платформам. На данный момент утечка данных, по-видимому, была прекращена, однако до сих пор доподлинно неизвестно, кто из разработчиков знал о ней или уже успел ей воспользоваться. Также у Symantec есть опасения, что некоторое количество украденных данных содержится на сторонних серверах в виде лог-файлов и активно используется рекламодателями.
Symantec, специализирующаяся на разработке систем информационной безопасности, советует пользователям Facebook сменить пароли своих аккаунтов, что должно уберечь их от нежелательных последствий этой утечки.
В свою очередь, Facebook заявила, что работает с Symantec над укреплением безопасности. Также она высказала новые требования к разработчикам ПО для социальной сети, в которых упоминается обязательное использование приложениями процесса получения ключей доступа OAuth 2.0. Дуглас Парди (Douglas Purdy), директор Facebook по связям с разработчиками, заметил, что соглашения, подписанные разработчиками и рекламодателями с Facebook, не позволяют им применять информацию о пользователях способами, нарушающими политику компании.