A en croire Facebook, 20 millions d'applications seraient installées chaque jour sur les profils des membres du réseau communautaire. Reste que plusieurs d'entre elles ne seraient pas véritablement sécurisées. En effet, les modules de type IFRAME auraient accidentellement rendu accessibles les clés de sécurité. Ces dernières embarquent les droits d'accès d'une application au profil d'un membre. C'est donc au sein de cette clé que sont stockées les autorisations de lecture et d'écriture acceptées par l'internaute.
Symantec précise : « les tierces parties, et notamment les annonceurs publicitaires, ont eu accidentellement accès aux comptes des utilisateurs de Facebook comme le profil, les photos, le chat et même la possibilité de publier des messages et de fouiller les informations personnelles ».
Au mois d'avril, les experts de la société estimaient qu'environ 100 000 applications auraient permis ces fuites soit « des centaines de milliers » d'entre elles ouvrant la porte à « des millions de clés » au cours des dernières années. Symantec explique que par défaut, Facebook fait usage du protocole OAuth 2.0 mais conserve cependant une compatibilité avec les systèmes d'authentification plus anciens utilisés par « des centaines de milliers d'applications ». La clé de sécurité transitait alors via une connexion moins sécurisée.
Prévenu par Symantec, Facebook aurait résolu le problème en question.
