Уловка была описана в блоге 21-летнего Арула Кумара (Arul Kumar), который живет в штате Тамил Наду на юге Индии. Кумар, написав в Facebook об ошибке получил оповещение, о том, что это вовсе не баг системы, однако позже тех-службе соцсети пришлось изменить свою позицию. Обнаруженная уязвимость, по их словам, была исправлена.
Интересно то, что это и вправду редкий вид ошибки, ведь стандартный пользователь имеет весьма ограниченный доступ воздействию на профили других людей. Пользователь может попросить Facebook или самого человека об удалении неугодной ему фотографии, но никак не провернуть это операцию своими руками.
Арул Кумар же заявил, что он нашел способ позволяющий заявителю получить специальную ссылку, отправленную системой Facebook , которая дает возможность удалить изображение, не зная ни личность, ни пароль и даже ни логин второго пользователя.
«Проблема заключается в поддержке Dashboard на мобильных доменах Facebook», пишет Кумар. Он лично отправил запрос на удаление фотографии, а затем попросту вставил в URL идентификационный номер фото (ID, известный также как параметр «CID»). При этом в запросе Кумару удалось подменить свои и чужие URL данные, тем самым создав ситуацию, в которой «якобы сам человек, запостивший обозначенное фото хотел бы его же и удалить».
После проделанных махинаций Кумар получил от соцсети линк (который должен получать только хозяин профиля), который и позволил удалить изображение.
Находчивый индиец показал все свои «процедуры» в видео, в котором он попытался, хотя лишь наглядно, удалить фотографию Марка Цукерберга. Учитывая правила Facebook`а Арул Кумар все же создал два «тестовых профиля», что-бы убедить техническую службу в имеющихся недостатках.
На основании полученных данных Facebook уже успел утвердить «премию за баг», которая как минимум обозначена суммой в 500$ и может достичь и более высоких границ в зависимости от предоставленного анализа. Facebook пока ещё не отрапортовал о факте и величине вознаграждения полагающегося Арулу Кумару.