Lubang keamanan kembali ditemukan di Facebook, orang asing dengan mudah dapat mengakses akun dari seorang pengguna tanpa harus mengetahui password dari pengguna tersebut. Hal ini pertama kali ditemukan oleh The Next Web, ketika mereka menemukan sebuah sumbmission di Hacker News yang memberitahukan lubang keamanan tersebut.
Hanya dengan mengetik “inurl:bcode=[*]+n_m=[*] site:facebook.com.” di Google Search, seseorang dapat mendapat direct link dari 1,35 juta akun pengguna Facebook dengan emailnya yang terlihat dalam URL link tersebut.
Namun link tersebut bersifat sementara dan akan memperlihatkan email dari pengguna dan menyuruh pengguna tersebut untuk masuk kembali ke dalam Facebook.
Sebagian besar dari akun tersebut berbahasa China dan Rusia. Sebenarnya tidak ada yang salah dengan link tersebut. Namun seorang dari member Hacker News memberitahukan sebuah cacat dari link tersebut yang dapat membuat orang yang tidak dikenal dapat mengakses langsung akun Facebook milikmu.
“This is how everything started: A friend forward me an email from a FB group notification. Something like:Seperti yang sudah dijelaskan diatas, hanya dengan mengetahui email dan ID akun Facebook melalui link yang kita dapat dari percarian Google tersebut, kita dapat dengan mudah masuk ke dalam akun Facebook milik orang lain. Dengan kata lain, kita cukup mengetahui ID dan email dari akun Facebook teman kita, kita bisa dengan mudah masuk ke akun Facebook miliknya.
http://www.facebook.com/n/?groups%[id here]%2Fpermalink%[id here]%2F&mid=[id here]&bcode=[id here]-mjoi&n_m=[email adress here]
When I clicked the url I got automatically logged into my friend’s account. So is definitely a Facebook security issue. Then I tried some Google searches to see if I could find some urls containing the parameters: ‘bcode= &email= n_m= mid=‘. Not a big deal, really.”
Sesaat setelah berita pada Hacker News terbit, Matt Jones, seorang engineer dari Facebook langsung melaporkan bahwa mereka telah menonaktifkan seluruh dari temporary link tersebut serta meminta Google untuk menghapus semua link tersebut dari Google Search.
Jones menjelaskan bahwa adanya link tersebut pada search engine disebabkan karena adanya pengguna yang memposting link tersebut online dan kemungkinan link tersebut di letakan di blog, sehingga crawler dari search engine dengan mudah menangkap seluruh link yang berjumlah lebih dari 1 juta tersebut.
Dia menyebutkan link tersebut digunakan oleh Facebook untuk mengonfirmasi akun email yang baru mendaftar di Facebook. Namun ia menambahkan kalau link tersebut adalah format link lama yang sudah tidak dipakai oleh Facebook saat ini.