De manier waarop Facebook met tags voor afbeeldingen omgaat maakt het mogelijk om DDoS-aanvallen van meerdere gigabits per seconde op websites uit te voeren, zo waarschuwt een onderzoeker. Het probleem wordt veroorzaakt door Facebook notes, waar gebruikers img-tags kunnen toevoegen.

Via deze img-tags is het mogelijk om externe afbeeldingen of bestanden in te bedden. Als er een img-tag in een note wordt gebruikt laadt Facebook de afbeelding van de externe server en bewaart die in de eigen cache. Facebook zal de afbeelding zodoende slechts één keer cachen. Door het gebruik van willekeurige 'get parameters' in de img-tag is het echter mogelijk om dit te omzeilen en Facebook een afbeelding duizenden keren op te laten vragen, wat een gigantische hoeveelheid dataverkeer veroorzaakt.

De onderzoeker met het alias 'chr13' slaagde erin met een PDF-bestand van 13MB een DDoS-aanval van bijna 900 megabit per seconde op de externe website te veroorzaken. Hij zegt dat met een betere opzet zelfs meerdere gigabits gehaald kunnen worden. De onderzoeker rapporteerde het probleem bij Facebook, maar kreeg te horen dat de sociale netwerksite het probleem niet zal oplossen, omdat dit nadelig voor de algehele functionaliteit van de website zou zijn.

Dit tot grote verrassing van de onderzoeker. "Ik snap niet waarom ze dit niet verhelpen. Het ondersteunen van dynamische links in image-tags kan een probleem zijn en ik ben er geen voorstander van. Ik denk dat een handmatige upload ook geen probleem voor gebruikers is als ze dynamische gegenereerde afbeeldingen in hun notes willen." Naast Facebook zou het probleem ook bij Google spelen.