Een kwetsbaarheid in Facebook maakte het mogelijk om alle fotoalbums van gebruikers en groepen te verwijderen, zo ontdekte een Indiase beveiligingsonderzoeker. Ontwikkelaars van Facebook-apps maken tegenwoordig gebruik van de Graph API (application programming interface) om gegevens van gebruikers te kunnen lezen en schrijven. Hiervoor heeft de API over het algemeen een toegangstoken nodig.

Volgens de documentatie van Facebook is het echter niet mogelijk om via de Graph API de fotoalbums van gebruikers te verwijderen. Toch probeerde Laxman Muthiyah dit te doen, wat een foutmelding opleverde. Daarin stond dat de gebruikte applicatie het fotoalbum niet kon verwijderen. Wat het volgens de onderzoeker ook liet zien was dat een andere applicatie dit wel kon.

Daarom gebruikte hij een "Facebook for mobile" toegangstoken waarmee hij wel fotoalbums kon verwijderen. Het enige wat hiervoor nodig was, was het album-ID van de Facebookgebruiker. Muthiyah waarschuwde Facebook en binnen twee uur was het probleem verholpen. De onderzoeker kreeg voor zijn melding een beloning van 12.500 dollar. Op YouTube is nog een demonstratie van de kwetsbaarheid te vinden.