Los sitios que utilizan el inicio de sesión de Facebook nunca deben tener acceso a su nombre de usuario / contraseña. La API de Facebook conecta al usuario directamente a Facebook, lo autentica y luego la transfiere al sitio web en el que se encuentra.
Si algo diferente está sucediendo, ese sitio web probablemente se comporte maliciosamente (piense, emulando el proceso de inicio de sesión de Facebook como un sitio de phishing, en cuyo caso su inicio de sesión de Facebook ya estaría comprometido). En este caso, HeartBleed abre una superficie de ataque bastante estrecha ... si la clave privada de ese sitio se ve comprometida, y la sesión en la que envió su usuario / pase a ellos fue capturada previamente por el atacante, entonces ellos podrían descifrar su comunicacion Voy a poner las probabilidades en este como bastante bajo. De lo contrario, si no están parcheados y le envías a tu usuario de Facebook / pasa de nuevo, entonces un atacante podría agarrarlo si están atacando razonablemente cerca de ese momento.
No voy a sugerir que tal escenario no existe en ninguna parte de la web, pero para empezar, cualquier sitio al que normalmente quiera acceder que use un inicio de sesión de Facebook nunca tuvo acceso a su usuario / pase, porque la API protege específicamente contra ese escenario.