La faille en question a été repérée par Wang Jing, un étudiant de l'université de Singapour. A l'heure actuelle certains services Internet proposent aux internautes d'authentifier un compte tiers afin d'obtenir davantage de fonctionnalités. Microsoft, par exemple, propose de se connecter à ses comptes Google et Facebook afin de synchroniser les contacts au sein d'Outlook.com ou d'activer la messagerie instantanée. D'autre, comme Spotify, proposent la création d'un profil en chargeant les informations de Facebook.
La faille en question permet à un hacker malintentionné d'envoyer la victime vers un site frauduleux puis de lui présenter un pop-up de connexion classique. Plutôt que de présenter une fausse URL, le pop-up présente le domaine légitime du fournisseur d'informations, par exemple Facebook. Toutefois cette URL est modifiée pour contenir également une redirection vers un autre site frauduleux. Ce dernier sera spécialement conçu pour récupérer le certificat retourné par Facebook et disposant de toutes les autorisations permettant de collecter des informations sensibles, qu'il s'agisse d'une adresse email, d'une liste de contacts... En fonction des droits d'accès demandés par le hacker, celui-ci pourrait même gérer le profil de la victime à son insu.
Parmi les sites potentiellement affectés, M. Jing fait mention de Facebook, Google, Yahoo, LinkedIn, Paypal, Weibo, Mail.ru ou encore Live.com. L'étudiant explique avoir contacté ces principaux fournisseurs OAuth / OpenID, mais si cette vulnérabilité est connue, elle ne dispose toutefois pas de solution immédiate. Facebook estime que ce problème ne peut être corrigé de manière instantanée. Google avoue être au courant et analyse la situation tandis que Microsoft a ouvert une enquête et affirme ne pas avoir décelé de problème sur login.live.com.
