Facebook heeft een beveiligingslek gedicht waardoor het mogelijk was voor aanvallers om willekeurige Facebookpagina's over te nemen. Waar Facebook voor gebruikers profielen heeft, kunnen merken, bedrijven, organisaties en beroemdheden speciale Facebookpagina's aanmaken.
Standaard kunnen de pagina's via een Facebookaccount worden beheerd en toegevoegd. Om bedrijven met het beheren van hun pagina's uitgebreider te helpen ontwikkelde Facebook de Business Manager. Deze tool laat onder andere zien wie er toegang tot de Facebookpagina's heeft en wat hun rol is. Bedrijven kunnen personen ook toegang tot de Facebookpagina geven, zodat ze aan bepaalde onderdelen van de pagina kunnen werken.
Onderzoeker Arun Sureshkumar ontdekte dat bij het verzoek vanaf de Business Manager om een gebruiker een rol op de Facebookpagina toe te kennen een gebruikers_id, rol en 'asset_id' worden meegestuurd. Door het asset_id te veranderen in die van een andere Facebookpagina, en het verzoek opnieuw naar Facebook te versturen, krijgt de opgegeven gebruiker de opgegeven rol. Zodoende is het mogelijk voor een aanvaller om zich als beheerder van een willekeurige Facebookpagina aan te melden.
Facebook heeft een beloningsprogramma om hackers en onderzoekers voor het melden van kwetsbaarheden te belonen. Sureshkumar informeerde Facebook op 29 augustus van dit jaar. Een week later was het probleem door Facebook verholpen. Tijdens het onderzoek naar de bug werd nog een tweede probleem ontdekt en gepatcht. Daardoor kreeg Sureshkum uiteindelijk een iets hogere beloning, namelijk 16.000 dollar.
Deze posting is gelocked. Reageren is niet meer mogelijk.