Dat schrijft cyberveiligheidsonderzoeker Andrey Leonov dinsdag op zijn blog. Hij ontdekte het lek zelf en ontving 40.000 dollar van Facebook voor die ontdekking.

De kwetsbaarheid had van doen met de manier waarop Facebook plaatjes van een nieuw formaat voorziet. Daarvoor wordt de techniek van ImageMagick gebruikt. Daarin werd vorig jaar april een kwetsbaarheid gevonden die even later verholpen werd.

Maar in oktober bleek dat Facebook op zijn interne servers nog gebruikmaakte van een versie van ImageMagick waar de kwetsbaarheid nog in zat. De kwetsbaarheid werd na het aangeven van Leonov binnen drie dagen gerepareerd en tien dagen later had hij zijn beloning binnen.

Facebook heeft een zogeheten bug bounty-programma. Hackers worden daarin aangemoedigd om de software van het grootste sociale netwerk van de wereld onder de loep te nemen om kwetsbaarheden te vinden. Hoe groter de kwetsbaarheid, hoe groter de beloning. De gemiddelde beloning lag in 2016 op zo’n 5.500 dollar.