Egy olyan kritikus sebezhetőséget fedeztek fel a Facebookon, amelyik a közösségi oldal egyik legújabb funkcióját érinti, méghozzá azt, hogy a szöveg és a kép mellett akár videókkal is kommentelhetünk (erről az újdonságról itt olvashatnak).

Pranav Hivarekar indai kutató, blogbejegyzése szerint, tesztelni kezdte az új funkciót, hogyan is dolgozik. Két óra múlva meglepő biztonsági résre bukkant. Néhány Facebook API lekérdezés után képessé vált bármelyik, a Facebookra feltöltött kommentvideót törölni, mégpedig a videó ID-ja alapján. Mivel ez utóbbi csatolva van a kommenthez, vele együtt a videó is törlődik. A hiba abból adódott, hogy a Facebooknál elfelejtettek programozni egy engedélyellenőrzést azzal kapcsolatban, hogy aki törölni akarja a kommentet, az valóban a videó tulajdonosa-e (lehet, hogy ez a hátulütője az egy nap alatti fejlesztésnek?).

A kutató azonnal jelentette a problémát a Facebook hibavadász (bug bounty) programjának keretében, két nappal azután, hogy elérhetővé vált az új funkció. A közösségi oldalnál mindössze 23 perc elteltével kiadtak egy átmeneti megoldást, majd 11 órával később javították a hibát. Mivel rendkívül kritikus problémaként értékelték a bugot, a kutató öt számjegyű fejpénzt kapott.