Исследователь безопасности из Индии нашел критичную уязвимость платформы Facebook, благодаря которой из социальной сети можно было удалить хоть какое видео. Новенькая функция была представлена в Facebook сначала месяца, ей стала возможность добавлять видео в качестве ответа в комментах.
После работы с запросами неких интерфейсов программирования Facebook исследователь сумел удалять видео, используя его идентификационный номер. Когда юзер загружает видео в качестве комментария, видео оказывается в его профиле Facebook, у него есть номер ID, по которому оно прикрепляется к определённому посту.
Можно сделать комментарий с помощью Facebook API, потом можно отправить другой запрос API для прикрепления хоть какого ID от хоть какого юзера в качестве комментария, и дальше последующий запрос API можно использовать для удаления комментария. Совместно с ID удаляется и само видео. Разработчики Facebook запамятовали добавить проверку разрешений, чтоб знать, является ли удаляющий видео юзер его обладателем.
О наличии препядствия было сообщено в Facebook 11 июня через программку поиска багов Bug Bounty, спустя два денька после введения функции. Через 23 минутки Facebook представил временное решение, а через 11 часов выпустил настоящий патч. Исследователь за таковой критичный баг получил в заслугу сумму с пятью знаками.