Der er tale om et meget stort hul i sikkerheden, og man mener, at den har været der i mange år. Annoncører og andre partnere har haft adgang til profiloplysninger, chatbeskeder, billeder og faktisk også haft mulighed for at sende beskeder i brugerens navn! Man har dog ikke kunnet bevise, om nogen har benyttet/misbrugt muligheden.

Nyheden er kommet frem via Symantecs officielle blog, og her anslår man, at op mod 100.000 applikationer på Facebook har lækket ”access tokens”, så problemet har et meget stort omfang.

Hos Symantec vurderer man, at millioner af disse ”access tokens” er blevet lækket gennem årene. Der er tale om en form for reservenøgle, som kan bruges til at foretage ting på Facebook i brugerens navn.

Hver nøgle giver adgang til forskellige handlinger. Det kan for eksempel være at læse bestemte ting i brugerens navn. »Vi frygter, at en stor del af disse tokens stadig kan være tilgængelige i logfiler eller stadig bliver aktivt brugt af annoncører,« skriver Symantec.

Fra Facebooks side har man informeret, at problemet ikke findes længere, da man har flyttet applikationerne til Oatuth, som det hedder. Symantec anbefaler, at hvis man er bekymret som bruger, bør man udskifte kodeord på Facebook. Dermed bliver de stjålne tokens ugyldige.