Beveiligingsonderzoeker Stephen Sclafani ontdekte de kwetsbaarheid via een oude Facebookuitnodiging die naar een mailinglijst was gestuurd. Daarin bleek een link te zitten met twee parameters. Een daarvan bleek gerelateerd aan het Facebook-id, openbare informatie op de sociale-netwerksite. Door de 'mid'-parameter te veranderen naar de Facebook-id van een andere gebruiker bleek het primaire e-maildres van de betreffende gebruiker zichtbaar te worden, ongeacht de privacyinstellingen.

Sclafani heeft het lek gemeld bij Facebook. De sociale-netwerksite erkende het lek en repareerde de fout binnen een dag. De beveiligingsonderzoeker kreeg een beloning.

Alles bij de bron; Tweakers