Gareth Wright brit szoftverfejlesztő azt nyilatkozta, hogy Facebook Androidon és iOS-en futtatható kliensei nem titkosítva tárolják a bejelentkezési adataikat, így azokat bárki könnyen ellophatja egy kártékony alkalmazás segítségével. A szakértő a blogjában elmagyarázta, hogy a támadónak csak a mobilon tárolt .plist kiterjesztésű fájlt kell megszereznie, ami a felhasználó beállításait tárolja, és kétezer évig nem évül el.
Aki megszerzi ezt a fájlunkat, és átmásolja a saját eszközére, a nevünkben jelentkezhet be a közösségi portálra, magyarán teljes hozzáférést szerez minden személyes adatunkhoz. Ez még semmi, a hekker azokat az alkalmazásokat is használhatja, amikbe a Facebook-azonosítonkkal jelentkeztünk be.
Wright próbaképpen elküldte a saját .plist fájlját egy ismerősének, és leesett az álla, amikor egyszer csak azt látta, hogy az a nevében írogat a Facebookon, és az ő ismerőseivel játszik. Írt egy rövid kódot is, amivel egy hét alatt több mint ezer .plist fájlt tudott begyűjteni mások telefonjairól. Ezeket letörölte, és értesítette a Facebookot a súlyos hibáról.
A közösségi portál programozói már lázasan dolgoznak a javításon, de Wright szerint ez nem lesz elegendő, mert az összes fejlesztőnek, aki a szoftverében Facebook-bejelentkezést használ, át kell állnia a tokenek titkosítására.