Theo Thehackernews, lỗ hổng nói trên được phát hiện bởi hãng bảo mật Imperva cho thấy nó xuất phát từ cách hoạt động của tính năng tìm kiếm trên Facebook, cho phép hiển thị kết quả các truy vấn đã nhập.
Để khai thác lỗ hổng này, tất cả những gì tin tặc cần làm chỉ đơn giản là lừa người dùng truy cập vào trang web độc hại trên trình duyệt web với nội dung đăng nhập tài khoản của mình. Trang web độc hại này có chứa mã javascript cho phép thực thi lệnh trong nền ngay sau khi nạn nhân nhấp vào bất kỳ đâu trên trang đó.
Ngay sau đó mã javascript sẽ mở một tab hoặc cửa sổ mới với URL Facebook, chạy một số truy vấn tìm kiếm được xác định trước và trích xuất thông tin của nạn nhân, bao gồm các thông tin nhạy cảm liên quan trang người đó thích, trang người đó là thành viên, địa điểm chụp ảnh, vị trí bạn đăng ảnh…
Theo các chuyên gia bảo mật thì lỗ hổng nói trên đặc biệt nguy hiểm cho người dùng di động, vì tab mở có thể dễ dàng ẩn trong nền lướt web, cho phép kẻ tấn công trích xuất kết quả cho nhiều truy vấn tìm kiếm khác nhau khi mà người dùng đang xem video hoặc đọc bài viết trên trang web mà kẻ tấn công cung cấp.
Lỗ hổng cho phép kẻ gian tiếp xúc với sở thích, hoạt động của người dùng và bạn bè của họ ngay cả khi nội dung chỉ được thiết lập hiển thị ở chế độ Only Me hay Friends.
Được biết Imperva đã thông báo lỗi cho Facebook thông qua chương trình tiết lộ lỗ hổng của công ty, và Facebook đã giải quyết vấn đề sau đó bằng cách thêm các biện pháp bảo vệ CSRF.