No, questo non è possibile. In caso contrario, il link rivelerà anche la tua identità: apre una pagina con il tuo nome su di essa e tutto dal tuo stream.
Quello che stai pensando può essere fatto con un attacco di scripting cross-site. Ciò inietterebbe uno script nella pagina, che può fare tutto ciò che vuole con il sito web. Può inviare informazioni raccolte all'autore dell'attacco, inviare messaggi per te, ecc.
Attualmente non è noto che Facebook sia vulnerabile per lo scripting cross-site. È molto facile correggere questa vulnerabilità, quindi se tale violazione è stata rilevata, sarebbe andata via entro un'ora o due dopo la scoperta (l'aggiornamento dell'aggiornamento dal vivo richiede un po 'di tempo). Nel frattempo potrebbero portare giù quella parte del sito web.
Per riferimento, un esempio di URL di attacco potrebbe essere: https://example.com/search?q="><script src="attack.js"></script>
Per oscurare questo, un utente malintenzionato probabilmente lo codificherà:
https://example.com/search?q=%22%3e%3c%73%63%72%69%70%74%20%73%72%63%3d%22%61%74%74%61%63%6b%2e%6a%73%22%3e%3c%2f%73%63%72%69%70%74%3e
L'unico modo in cui questo attacco può essere eseguito senza che Facebook sia vulnerabile è quando la pagina viene caricata su HTTP (non su HTTPS) e un utente malintenzionato può controllare la connessione (come su una rete WiFi pubblica) o quando si sta usando un vecchio browser come Internet Explorer 6. O cose correlate come Flash Player è molto vecchio, o hai un virus ... Ma questi sono tutti fattori esterni e non una vulnerabilità nel modo in cui hai descritto (trovare un'identità da uno speciale url o pagina).