Door het combineren van twee verschillende kwetsbaarheden in Facebook was het mogelijk om accounts van gebruikers over te nemen, zo heeft het sociale netwerk via het eigen platform laten weten.

Het eerste beveiligingslek maakte het mogelijk om het Facebookgebruikers-ID te achterhalen dat bij een opgegeven e-mailadres of telefoonnummer hoort. Vervolgens was het mogelijk om voor het achterhaalde gebruikers-ID een wachtwoordreset uit te voeren door de verificatiecode te bruteforcen die wordt gebruikt om een telefoonnummer te valideren. Via de wachtwoordreset kon het account worden overgenomen. Het bedrijf heeft de beveiligingslekken verholpen en zegt dat er geen aanwijzingen van misbruik zijn gevonden.

Verder maakt Facebook melding van een ander beveiligingslek in de standaardinstelling voor nieuw toegevoegde telefoonnummers of e-mailadressen. Wanneer gebruikers een telefoonnummer of e-mailadres toevoegden kregen ze ten onrechte te zien dat het nummer of e-mailadres alleen voor hen zichtbaar was. Door een bug was het telefoonnummer of e-mailadres echter voor iedereen zichtbaar die als "vriend" was aangemerkt. Facebook heeft het probleem verholpen en zegt tevens een fix onder andere producten te hebben uitgerold om herhaling in de toekomst te voorkomen. 

Alles bij de bron; Security