Sikkerhedsfirmaet Symantec har anklaget Facebook for at lade slutbrugerdata være åbne for tredjeparter og annoncører i hundredtusindvis af applikationer.
Problemet stammer fra "adgangstokens", der fungerer som reservenøgler i Facebook-applikationer, og problemet var blevet uopdaget "gennem årene", ifølge sikkerhedsfirmaet.
"Tredjeparter, især annoncører, har ved et uheld haft adgang til Facebook-brugeres konti, herunder profiler, fotografier, chat og havde også mulighed for at sende beskeder og mine personlige oplysninger,” sagde Nishant Doshi på officiel Symantec-blog, selvom han indrømmede, at han ikke havde beviser for, at tredjeparter havde gjort brug af sikkerhedsbristen.
Der er ingen god måde at vurdere, hvor mange adgangstokens der allerede er blevet lækket siden udgivelsen af Facebook-applikationer tilbage i 2007
"Facebook iFrame-applikationer lækkede utilsigtet adgangstokens til tredjeparter som annoncører eller analytiske platforme. Vi anslår, at hundredtusindvis af applikationer i årenes løb kan have lækket millioner af adgangstokens til tredjeparter utilsigtet."
Selvom Facebook sagde, at Symantecs rapport indeholdt "unøjagtigheder", sagde det sociale netværk, at det havde siden lukkede hullet og troede ikke, at tredjeparter havde gjort brug af den åbne invitation til raid-ansøgning data.
"Vi har gennemført en grundig undersøgelse, som ikke afslørede beviser for, at dette problem resulterede i en brugers private oplysninger, der deles med uautoriserede tredjeparter, siger Facebook-talskvinde Malorie Lucich til Reuters i en udmelding.
Ifølge Symantec kunne dataskrabere og andre personoplysninger dog stadig bruge de tokens, der allerede er blevet lækket gennem årene.
"Vi frygter, at mange af disse tokens stadig er tilgængelige i logfiler på tredjepartsservere eller stadig bruges aktivt af annoncører," sagde Doshi.
"Bekymrede Facebook-brugere kan ændre deres Facebook-adgangskoder for at ugyldiggøre lækkede adgangstokens. Der er ingen god måde at vurdere, hvor mange adgangstokens der allerede er blevet lækket siden udgivelsen af Facebook-applikationer tilbage i 2007."
Symentec sagde, at adgangstokens var "som reservenøgler givet af dig til Facebook-applikationen". Applikationer kan bruge disse tokens eller nøgler til at udføre visse handlinger på vegne af brugeren eller for at få adgang til brugerens profil, sagde virksomheden.
