Według Symantec, token może zostać omyłkowo wstawiony do URLa utworzonego przez Facebook, gdy użytkownik loguje się do aplikacji. Jeśli aplikacja ładuje baner reklamowy lub kod analityki internetowej w następnym kroku, wyśle ten adres URL, łącznie z tokenem dostępu w polu referrer. Dane mogą być przechowywane w pliku loga, który jest przechowywany na serwerach dostawców reklam i analityki.
Producent oprogramowania security zaleca użytkownikom podejrzewającym możliwość zagrożenia zmianę hasła do konta Facebook. Wydaje się, że jest to krok wystarczający. Facebook także zajął się tą sprawą i poinformował twórców aplikacji o zmianach. Do 1 października 2011 r., wszystkie aplikacje będą zobowiązane do uwierzytelniania przy użyciu OAuth 2.0.
Źródło: H-Online