Эксперт в сфере информационной безопасности Пранав Хиварекар сообщил, что он в начале июня выявил критическую уязвимость в Facebook, которая давала возможность удалять из социальной сети любую видеозапись.
Источником существования проблемы является новый функционал, который был представлен разработчиками Facebook в начале июня. С его помощью пользователи могут размещать видеозаписи в комментариях.
По словам Хиварекара, для процедуры вставки видеозаписи в комментарий используется ID ролика. Анализ работы API показал, что из социальной сети можно без труда удалить абсолютно любой видеоролик.
Чтобы удалить видеозапись, нужно написать комментарий, вложить в него ролик, воспользовавшись таким образом чужим video-id. После необходимо удалить свой комментарий. Вследствие ошибки наряду с комментарием исчезало и само видео. При удалении Facebook не проверяет, какой именно пользователь загрузил видеозапись и кто является ее владельцем. Удаление комментария с определенным video-id было равноценным удалению самого видео. Иными словами, разработчики Facebook рассчитывали, что пользователи будут загружать и прикреплять к комментариям только свои видеозаписи.
Хиварекар сообщил в Facebook об уязвимости 11 июня этого года. Спустя 11 часов после того, как разработчики узнали об ошибке, было создано полноценное обновление. За свою находку эксперт получил крупное вознаграждение.