Das Problem sind sogenannte "Access Token", eine Art "Ersatzschlüssel" zum Profil, wie Symantec erklärt. Normalerweise gewährt ein Nutzer sie bewusst einem Programm, damit es eine Funktionen erfüllen kann. Zu jedem dieser Schlüssel gibt es bestimmte Berechtigungen, die vom Nutzer festgelegt werden. Der Fehler ist allerdings, dass bei der alten Version der Facebook-Software eine Weitergabe dieser Schlüssel durch die Apps etwa an Werbetreibende oder Spezialisten für die Auswertung von Internet-Daten möglich war. Eine Passwort-Änderung reicht nach Angaben von Symantec aus, um den Zugang zu entziehen. Das komme dem Auswechseln des Schlosses an einer Tür gleich.