視頻截圖

為了利用該漏洞，站點可以嵌入iFrame（站點內的站點）來“吸取”用戶的數據：

當已登錄的Facebook用戶訪問帶有惡意代碼的，並在任意位置點擊時觸發腳本。

其通過向該社交網絡發送查詢來收集用戶數據，例如’用戶是否喜歡跑步？’、或’是否有朋友在加拿大？’

據悉，Masas是在研究Chrome漏洞時發現的Facebook bug，攻擊者可藉此竊取Facebook用戶的私人信息。

可怕的是，即便設置了僅對自己可見，其好友的數據仍可能被這隻黑爪給觸及。比如通過更加複雜的查詢，就可以找到有關某人的宗教信仰、或生活在特定區域的朋友圈等信息。

Facebook Proof of Concept（via）

對於此事，Facebook發言人在致外媒TechCrunch的回復中寫到：

感謝這位安全研究人員對我司bug 賞金計劃的支持，報告中的行為並非特定於Facebook，但我們的用戶數據沒有丟失。

我們已經向瀏覽器製造商和相關Web 標準組提出了建議，鼓勵它們採取措施防止此類問題在其它Web 應用上發生。

據悉，Facebook 向 Masas 發放了兩份單獨的賞金，總額為8000 美元。