Një inxhinier Brave ka zbuluar një problem të mundshëm sigurie me një shtesë të publikuar në Dyqanin e Uebit të Chrome. Edhe pse L.O.C. u zhvillua për qëllime të tjera, një sulmues mund të përdorte të njëjtën metodë identifikimi për të fshirë të dhënat e përdoruesit në Facebook. Shtëpia e softuerit kaliforniane ka vendosur të bllokojë instalimin e shtesës.
L.O.C. ju lejon të kryeni një sërë operacionesh në Facebook, të tilla si ndryshimi i shpejtë i privatësisë së postimeve, shkarkimi i mesazheve dhe heqja e miqve. Nëse përdoruesi është tashmë i lidhur me rrjetin social, zgjerimi automatikisht u jep akses në disa të dhëna serverëve të palëve të treta. Kjo është për shkak se API-të e përdorura nuk bëjnë që kërkesa të shfaqet përpara se të krijohet token.
Zhvilluesi i zgjerimit deklaroi se L.O.C. nuk mbledh të dhëna të përdoruesit. Ata janë versioni Premium që regjistron UID-in e tyre (identifikuesin e përdoruesit) për të aktivizuar veçoritë shtesë. Shenja e hyrjes krijohet me një kërkesë GET në Creator Studio të Facebook. Shenja ruhet në shfletues, por mund të lexohet me tekst të qartë në kodin HTML të faqes https://business.facebook.com/creatorstudio/home.
Zhvilluesi e kishte raportuar problemin në Facebook. Kompania Menlo Park u përgjigj se kjo është një veçori, jo një gabim. Një metodë e ngjashme mund të përdoret për të fshirë të dhënat e përdoruesit, siç ishte rasti në 2018.
Facebook e ka ndaluar zhvilluesin, duke e akuzuar atë për transferimin e të dhënave pa pëlqimin e përdoruesve. Shtesa është ende e pranishme në Dyqanin e Uebit të Chrome. Brave ka vendosur të bllokojë shtesën, të paktën derisa të bëhen ndryshimet e nevojshme.
Discussion about this post