Die betroffenen Facebook-User wurden mit einer Marktforschungs-Umfrage gelockt, bei der die Teilnehmer angeblich Einkaufsgutscheine zweier US-amerikanischer Handelsketten gewinnen konnten. Beim Klick auf die Verlinkung installierte sich eine Anwendung, die die Kontakte des Betroffenen durchforstete und den Link wiederum an diese verschickte. Da dies im Namen des Users geschah, folgten die Empfänger der Nachricht sorglos der Verlinkung. So konnte sich die Spam-Attacke im Schneeballprinzip verbreiten. Nach eigenen Angaben hat Facebook den Fehler zu Beginn der Woche bemerkt. Jetzt wurden die entsprechenden Apps aus dem sozialen Netzwerk entfernt. Außerdem will Facebook die Sicherheitslücke, die solche Spam-Angriffe erst ermöglichte, jetzt geschlossen haben. In einer offiziellen Pressemitteilung ließ der Internet-Konzern verlauten, er hätte einen Bug behoben, der es Angreifern ermöglichte, mit ihren Anwendungen Schutzmaßnahmen gegen Cross-Site Request Forgery (CSRF) zu umgehen.

In den vergangenen Wochen hatten sich die Meldungen um Spam-Vorfälle zusehends gemehrt. Immer wieder konnten Hacker das Leck nutzen und über Kontaktlisten der Nutzer weitere User mit Werbung belästigt. Trotz behobenem Bug, empfehlen Online-Experten generell niemals verdächtige Links zu nutzen, auch wenn diese von Bekannten kommen.