Специалист по IT-безопасности из Индии Арул Кумар обнаружил в сервисе Facebook Support Dashboard критическую уязвимость, которая позволяла удалять фотографии, принадлежащие другим пользователям. По словам Кумара, «дыру» можно эксплуатировать в любом браузере любой версии, однако проще всего — используя мобильные платформы.

Одна из функций Support Dashboard — отправлять запросы на удаление пользовательских снимков. Получателями запроса могли стать как администраторы соцсети, так и сами пользователи, разместившие фотографии.

Кумар выяснил, что с помощью определенных манипуляций можно изменить значение Photo_id и Profile_id, передает ZDNet. Они применяются при генерации сообщений, в которых содержится ссылка на команду, удаляющую фото. Подставив нужные значения, хакер получал возможность отправить ссылку с командой на удаление фото своему сообщнику.

В Facebook найденную уязвимость признали критической и выплатили Кумару $12,5 тыс. за ее обнаружение.