Een beveiligingsexpert kon elk Facebook-account kraken, zolang hij in het bezit van een e-mailadres of telefoonnummer was dat gekoppeld was aan het account. Facebook heeft het lek inmiddels gedicht en 15.000 dollar aan de expert uitgekeerd.
Op zijn blog schrijft Anand Prakash over een ontwerpfout in het resetten van wachtwoorden bij het sociale netwerk. Wanneer iemand zijn wachtwoord vergeet en deze wil resetten heeft hij de optie om zijn e-mailadres of telefoonnummer in te voeren, waarna hij een code van zes cijfers toegestuurd krijgt waarmee het wachtwoord opnieuw ingesteld kan worden. Op Facebook.com kan dat 10 tot 12 keer, Prakash.
Toen probeerde hij hetzelfde op de betasite van Facebook, waar hij zag dat hier geen beperking op zat. Hij kon de code zo vaak invoeren als hij wilde, waardoor hij door het schrijven van een script dit automatisch talloze keren in kon voeren en dus de juiste code zou vinden. Als test probeerde hij het op zijn eigen account en het werkte.
Op 22 februari gaf hij aan Facebook door dat het lek bestond en een dag later was het opgelost. Om de beveiliger te belonen heeft Facebook 15.000 dollar (13.600 euro) uitgekeerd aan Prakash voor het vinden van het lek. Voor zover bekend is het lek niet misbruikt.
