I siti che utilizzano gli accessi a Facebook non dovrebbero mai avere accesso al tuo nome utente / password. L'API di Facebook collega l'utente direttamente a Facebook, autentica l'utente e quindi restituisce l'autenticazione al sito web in cui ti trovi.
Se qualcosa di diverso sta succedendo, quel sito Web si sta comportando probabilmente maliziosamente (pensa, emulando il processo di login di Facebook come un sito di phishing, nel qual caso il tuo accesso a Facebook sarebbe già stato compromesso). In questo caso, c'è una superficie di attacco piuttosto stretta aperta da HeartBleed ... se la chiave privata di quel sito è compromessa e la sessione in cui hai inviato il tuo utente / pass è stata precedentemente catturata dall'attaccante, quindi sarebbero in grado di decifrare la tua comunicazione. Metterò le probabilità su questo come piuttosto basso. Altrimenti, se sono privi di patch e invii di nuovo il tuo utente / pass di Facebook, allora un utente malintenzionato potrebbe prenderlo se sta attaccando ragionevolmente vicino a quel momento.
Non suggerirò che uno scenario del genere non esista da nessuna parte sul Web, ma qualsiasi sito a cui normalmente vorrai accedere utilizzando un accesso di Facebook non ha mai avuto accesso al tuo utente / pass per iniziare, perché l'API protegge specificamente contro quello scenario.