Der Inder Arul Kumar hat bei Facebook eine Lücke entdeckt, durch die er beliebige Fotos anderer Nutzer löschen konnte. Da er die Lücke vertraulich an Facebook gemeldet hat, darf er sich über eine Belohnung in Höhe von 12.500 US-Dollar freuen.
Die Lücke klaffte in der mobile Version des Support Dashboard. Entdeckt etwa ein Nutzer ein Foto von sich, dass ohne seine Einwilligung bei Facebook eingestellt wurde, kann er über Support Dashboard eine Löschanfrage stellen. Und zwar nicht nur an Facebook, sondern auch an den Nutzer, der das Bild hochgeladen hat. Letzterer erhält dann einen Link, der das betroffene Bild direkt löscht.
Kumar hat einen Weg gefunden, Lösch-Anfragen an Nutzer zu versenden, die das jeweilige Foto gar nicht hochgeladen haben. Dazu musste er lediglich eine HTTPS-Anfrage nach dem folgenden Muster absenden: