Исследователь информационной безопасности Поуя Дараби нашел опасную уязвимость в функционале создания опросов с графическими изображениями и анимациями, который сотрудники Facebook представили в начале ноября.
В ходе создания опроса на серверы Facebook передавался запрос с идентификаторами графических файлов, вложенных в опрос. Дараби обратил внимание, что у пользователя есть возможность поменять идентификатор изображения в запросе на ID любого фото, загруженного на Facebook, после чего этот снимок отобразится в опросе. После удаления сообщения создателем опроса графический файл, чей ID содержался в запросе, также стирается из социальной сети.
Эксперт сообщил Facebook о проблеме 3 ноября. В тот же день специалисты корпорации выпустили временный патч, а 5 ноября было обнародовано полноценное обновление.
Как утверждает Дараби, Facebook по программе bug bounty заплатила ему 10000 долларов. В 2015 году Дараби уже получал премию от Facebook в размере 15000 долларов, когда он представил способ обхода защитных систем от межсайтовой подделки запроса (Сross Site Request Forgery – CSRF).