Facebooks Messenger-App und die Browser-Version des Chats waren von einer kritischen Sicherheitslücke betroffen: Hacker konnten anscheinend die Chatverläufe verändern und manipulieren oder das Gerät sogar mit Schadprogrammen infizieren.
Die Sicherheitslücke wurde in der Speichervorgehensweise der Chat-Nachrichten ausfindig gemacht. Denn Facebook gibt jeder einzelnen Message eine „message_id“ und speichert diese neben seinen Servern auch offline. Nun war es den Angreifern möglich, die Message-ID auszulesen, nachdem sie eine Anfrage an www.facebook.com/ajax/mercury/thread_info.php sendeten. So waren sie in der Lage, die Inhalte der Nachrichten zu manipulieren und sie wieder an den Facebook-Server zu senden, woraufhin die jeweiligen Message-IDs überschrieben wurden.
Diese Manipulationen wären dann auch auf den Geräten der User erschienen und hätten die veränderten Chatverläufe dargestellt. Außerdem hätten Angreifer sogar Maleware in Form von mitgeschickten, bösartigen Links auf die Geräte einschleusen können, die von den Nutzern hätten angeklickt werden können.
Facebook wurde aber früh von der Sicherheitsfirma Checkpoint auf diese Sicherheitslücke aufmerksam gemacht und hat sie bereits nach kurzer Zeit geschlossen.