Een Amerikaanse onderzoeker ontdekte een truc om verborgen e-mailadressen op Facebook te kunnen achterhalen. Het sociale netwerk heeft het lek inmiddels gedicht. Hij werkte via url's op de mobiele site van het sociale netwerk.
De Amerikaan, Tommy DeVoss, legt in een blogpost uit dat het lek zat in de manier waarop de mobiele site de url opbouwde voor het annuleren van het verzoek om een 'page role' te krijgen op een Facebook-pagina. Hoewel de interface zelf het e-mailadres keurig verbergt met sterretjes, was in de url wel het volledige e-mailadres zichtbaar.
Een exploit van het lek vereiste dat een kwaadwillende een Facebook-pagina op poten zette en mensen met wie hij of zij geen Facebook-connectie heeft bijvoorbeeld als 'editor' of 'administrator' uitnodigde voor die pagina. Vervolgens stuurde Facebook een verzoek naar die persoon. Facebook toonde de url met het e-mailadres bij het annuleren van dat verzoek op de mobiele pagina.
Facebook erkende het lek en heeft het inmiddels gedicht. Bovendien heeft DeVoss een beloning gekregen van vijfduizend dollar voor het aandragen van het lek via het Facebook Bounty Program.