Problem został odkryty i udokumentowany na blogu przez Sow Ching Shiong. Wystarczy, że zalogowany użytkownik odwiedzi stronę https://www.facebook.com/hacked. Adres URL powstał z myślą o użytkownikach, którzy korzystają z portalu w aktywnej sesji, ale wydaje się im, że ich konto zostało przejęte. Zalogowany użytkownik zostaje przekierowany na https://www.facebook.com/checkpoint/checkpointme?f=[userid]&r=web_hacked. Klikając przycisk „Dalej”, zostanie poproszony o podanie nowego hasła. Niestety, w przeciwieństwie do zaleceń, tzw. najlepszych praktyk, formularz nie żądał podania starego hasła.
Ching Shiong wyjaśnił redaktorom Heise o możliwości trzech scenariuszy wykorzystania luki. Lokalny atak – gdy użytkownik zapomniał zablokować komputer lub laptop: aby wprowadzić nowe hasło, napastnik musiał po prostu wejść na stronę „Hacked”. Atak wewnętrzny – gdy atakujący zdobędzie identyfikator sesji użytkownika – istnieje możliwość przechwycenia sesji. Wreszcie zewnętrzny atak mógł wykorzystać tę lukę XSS celem przejęcia identyfikatora sesji. Po interwencji specjalisty Facebook dokonał zmian w serwisie. Przed przejściem na stronę /hacked, zostajemy poproszeni o wpisanie starego hasła.
Źródło: Heise