Een lek in Facebook stelde kwaadwillenden in staat om het e-mailadres van elke Facebook-gebruiker te bekijken.

Dat schrijft beveiligingsonderzoeker Tommy DeVoss op zijn blog. Zowel de primaire als verborgen e-mailadressen die aan een account gekoppeld zijn, waren via het lek te zien. Daarmee zouden hackers bijvoorbeeld phishingaanvallen kunnen uitvoeren.

Facebookgebruikers kunnen groepen aanmaken en andere gebruikers in die groep een rol als bijvoorbeeld moderator toewijzen. Als de groepsbeheerder iemand die niet op zijn vriendenlijst voorkomt een rol wil toewijzen, dan zal die gebruiker een uitnodiging via e-mail ontvangen.

De groepsbeheerder kan zo’n verzoek echter ook weer intrekken. Als dat via de mobiele versie van Facebook gedaan werd, bevatte de knop om het verzoek in te trekken een verwijzing naar een url waarin het e-mailadres van de gebruiker te zien was.

Facebook dichtte het lek op 14 december. Onderzoeker DeVoss ontving een beloning van 5.000 euro voor zijn tip. Het is niet duidelijk of het lek ook daadwerkelijk door kwaadwillenden misbruikt is.