Un chercheur en sécurité a reçu 12'500 dollars de la part du réseau social. Il a découvert une grosse vulnérabilité qui permettait de supprimer n'importe quelle photo publiée.
Jugée «critique» par le chercheur indien sur son blog, la vulnérabilité a été découverte dans les menus de paramétrage (Support Dashboard) du réseau social. Exploitée, elle permettait à quiconque de supprimer n'importe quelle photo d'utilisateur publiée sur la plateforme. Le chercheur avait trouvé le moyen de détourner sur son compte personnel le lien généré automatiquement par Facebook lors d'une requête de retrait d'image envoyée au propriétaire d'un cliché. Il suffisait ensuite à la personne malintentionnée de le modifier en indiquant l'identifiant d'une image et celui de l'utilisateur visé, que ce soit un internaute lambda ou une célébrité.
Comme pour le hacker palestinien, Arul Kumar s'est servi du profil du cofondateur du réseau social pour sa démonstration, mais il a eu le bon réflexe de ne pas aller jusqu'à effacer l'une de ses photos. La faille qui fonctionnait depuis tout navigateur et via mobile a depuis été corrigée par l'équipe de sécurité du réseau social.