Ο ερευνητής ασφάλειας, Stephen Sclafani, έχει ανακαλύψει μια κρίσιμη ευπάθεια στη δημοφιλή ιστοσελίδα κοινωνικής δικτύωσης, Facebook, που του επιτρέπει να παραβιάσει οποιονδήποτε λογαριασμό.
Ο Stephen χρειάζεται απλά το όνομα χρήστη, ώστε να παραβιάσει έναν λογαριασμό και να διαβάσει την αλληλογραφία, να δει τις διευθύνσεις ηλεκτρονικού ταχυδρομείου, να δημιουργήσει ή να διαγράψει σημειώσεις κ.α.
Όπως εξηγεί στο blog του, μια εσφαλμένη ρύθμιση στο τελικό σημείο επιτρέπει την πραγματοποίηση νόμιμων κλήσεων REST API σε κάθε χρήστη στο Faceboοk, χρησιμοποιώντας μόνο το όνομα χρήστη τους.
Το Faceboοk REST API λέγεται ότι είναι προκάτοχος του διαθέσιμου Graph API. Κατάφερε να αποστείλει αίτημα στον server χρησιμοποιώντας αυτό το API, για να ενημερώσει την κατάσταση στον λογαριασμό του θύματος.
Ο Stephen ανακάλυψε αυτή την ευπάθεια στις 23 Απριλίου και την ανέφερε στο Facebοok. Μετά την ενημέρωση το Facebοok επιδιόρθωσε προσωρινά το σφάλμα στις 30 Απριλίου. Το Facebοok επιβράβευσε τον ερευνητή δίνοντάς του αμοιβή 20.000 δολάρια για την εύρεση και αναφορά του bug.