Theo chuyên gia an ninh mạng Samip Aryal đã công bố thông tin về lỗ hổng bảo mật trên Facebook, điều này cho phép các tin tặc khai thác tài khoản của người dùng. Lỗ hổng liên quan đến quá trình đặt lại mật khẩu Facebook thông qua tính năng tùy chọn gửi mã xác thực đến thiết bị khác. Mã này có tác dụng xác thực người dùng chính chủ và hoàn tất quá trình đặt lại mật khẩu trên thiết bị mới.
Facebook sẽ gửi mã xác thực cố định, có hiệu lực trong thời gian 2 giờ và không có biện pháp bảo mật nào để ngăn chặn sự tấn công này. Trong vòng 2 giờ, tin tặc có thể nhập sai mã kích hoạt mà không gặp bất kỳ biện pháp ngăn chặn nào từ Facebook. Nếu nhập sai mã số hay mật khẩu quá số lần quy định, hệ thống an ninh sẽ tạm dừng quyền đăng nhập đối với tài khoản khả nghi.
Tin tặc chỉ cần nắm tên đăng nhập tài khoản Facebook là có thể gửi yêu cầu cấp mã xác minh. Khi đạt được kết quả như mong đợi, họ sẽ chiếm quyền kiểm soát và đá bay các phiên truy cập của người dùng.
Khi toàn quyền kiểm soát tài khoản, tin tặc sẽ đóng giả nạn nhân và liên hệ với người thân, bạn bè nhờ chuyển khoản. Ngoài ra, họ còn sử dụng tài khoản để gửi các đường link hay tập tin chứa mã độc hại, phát tán trên mạng xã hội. Những mã này có thể làm lộ thông tin cá nhân như tài khoản ngân hàng, hình ảnh, danh bạ và tin nhắn.
