Atul Agarwal, a Secfence Techologies vezetője, biztonsági szakember egy levelezőlistán ismertette tegnap a jelenséget, melyet a Facebookon tapasztalt. A botrányosnak tekinthető eljárás szerint ha a felhasználó rossz jelszót üt be e-mail címe mellé, akkor átkerül egy hibakereső oldalra, ahol az első sorban megjelenik az e-mailhez tartozó profilkép, a megadott név, valamint az e-mail cím, s rákérdeznek, hogy erről a fiókról van-e szó, ide akartunk-e bejelentkezni. Ezek az adatok mindenképp megjelennek, függetlenül attól, hogy milyen egyéb beállításokat választottunk adataink megosztását illetően.

Ilyen módon a kívülállók is valós adatokat tartalmazó adatrekordokhoz juthatnak hozzá, melyeket igen könnyű tisztességtelen célokra felhasználni, például spamelésre használt címlistákat lehet készíteni. Ráadásul, fejti ki Agarwal, az adatvadászatot lehet automatizálni is. A szakember nem jelentette hivatalosan az általa tapasztaltakat, mivel nem tudta megnevezni, hogy miről is van szó: programozási hiba (bug), sebezhetőség vagy pedig szolgáltatás („fícsör”).

A levél híre gyorsan elterjedt, s a lapok tudósításai után a Facebook szóvivője bejelentette, hogy vizsgálják az ügyet, majd nem sokkal később közölték, hogy dolgoznak a probléma megoldásán, ám addig is felhívják a felhasználók figyelmét, hogy megszegik a felhasználói szerződést, ha illegálisan olyan adatokhoz akarnak hozzájutni, melyhez nincs jogosultságuk. [„You will not collect users' content or information, or otherwise access Facebook, using automated means (such as harvesting bots, robots, spiders, or scrapers) without our permission” – a felhasználók a Facebook engedélye nélkül nem gyűjthetik más felhasználók tartalmait vagy információit, nem gyűjthetnek automatizált módon bejelentkezési adatokat.] Azaz: némiképp igyekeznek is a felelősség alól kibújni. (Maguk az adatvédelmi irányelvek csak angolul olvashatóak el, nincs magyar változat.)