De Indische ethische hacker Arul Kumar legt in een video uit hoe de bug te misbruiken was om foto's van iedereen op Facebook te verwijderen.

Eerst moest iemand een foto rapporteren. Normaliter bekijkt Facebook dan de ernst van de gerapporteerde foto om die al dan niet zelf te verwijderen.

Verwijdert Facebook de foto niet, krijgt de Facebook-gebruiker die de gerapporteerde foto plaatste een e-mail met een verzoek tot verwijdering. Daarin staat een link waarmee zo'n Facebook-gebruiker zelf direct de foto onherroepelijk kan verwijderen.

Door de url van het verzoek tot verwijderen te manipuleren, kon Kumar die e-mail met verwijder-link naar zichzelf sturen, zonder dat de klacht überhaupt langs Facebook ging, schrijft hij op zijn site. Volgens de hacker was het vrij eenvoudig geweest de procedure in een tool te verpakken, waardoor de hack in potentie voor iedereen bruikbaar was.

Kumar gaf de hack echter bij Facebook aan, maar die geloofde in eerste instantie niet dat er iets verkeerd zat. Pas toen Kumar in een video liet zien op het punt te staan een foto van Facebook-CEO Mark Zukerberg te verwijderen, zou Facebook actie hebben ondernomen.

Voor de ontdekking van de bug heeft de hacker 12.500 dollar gekregen van Facebook. Het sociale netwerk beloont ethische hackers die kwetsbaarheden aangeven in plaats van misbruiken.

Onlangs gebruikte een hacker ook al het Facebook-profiel van Zuckerberg om een kwetsbaarheid aan te tonen. Die hacker zette wel door, waardoor de gevolgen van de hack openbaar te zien waren. Die hacker is door Facebook niet beloond.

De kwetsbaarheid die Kumar vond, is inmiddels verholpen.

5 dingen die je moet weten over Facebook