Starsze facebookowe aplikacje, które nie wykorzystują OAUTH 2.0 do weryfikowania swoich uprawnień, posługują się parametrami return_session=1 oraz session_version=3 w adresie URL. Facebook na żądanie aplikacji zwraca token, który umożliwia aplikacji dostęp do profilu użytkownika.
Problemem jest to, że niektóre aplikacje mają ukrytą ramkę IFRAME, którą mogą wykorzystać również i inne osoby. Mając dostęp do adresu URL, podmioty trzecie mogą otrzymać dokładnie ten sam token z takimi samymi uprawnieniami, jak aplikacja zatwierdzona przez użytkownika. Innymi słowy, jeżeli zezwoliliśmy aplikacji “Jaki jest mój ulubiony wykonawca pop” dostęp do naszego profilu, a owa aplikacja zawiera powyższego “backdoora”, to bardzo możliwe, że praktycznie każdy ma dostęp do informacji na naszym profilu. A przynajmniej każdy zainteresowany.
Facebook przyznaje, że usterka istnieje i ogłosił, że obecny mechanizm będzie obowiązywał do pierwszego września, potem wszystkie aplikacje będą musiały posługiwać się OAUTH 2.0. Rekomenduje w międzyczasie wyrzucenie zbędnych aplikacji z profilu i zmianę hasła, co spowoduje wygenerowanie nowych tokenów.
