Весной текущего года, на ежегодной конференции F8 компания Facebook анонсировала FB5 — новый дизайн для платформы социальных сетей. Еще тогда небольшая группа ИБ-специалистов получила ранний доступ к новому дизайну, и один из них, Филипп Хервуд (Philippe Harewood), сумел обнаружить интересную ошибку.
В своем блоге специалист рассказал, что обнаружил возможность злоупотребления вызовом GraphQL, при помощи которого в новом дизайне можно удалять изображения профилей с фан-страниц Facebook (опираясь на поле profile_id). Как оказалось, просто изменив этот идентификатор на ID обычного пользователя, можно было добиться удаления фото из профиля этого человека.
Так как в настоящее время проблему уже исправили, Хервуд приложил к своему отчету простой PoC-эксплоит для уязвимости.
Представители Facebook уже подтвердили информацию, опубликованную исследователем, а также сообщили, что обнаружив эту уязвимость, Хервуд получил 2500 долларов в рамках программы bug bounty.