Facebook Support Dashboard برای ارسال درخواستهای Photo Removal مورد استفاده قرار میگیرد.
این درخواستها توسط کارکنان فیسبوک بررسی میشود یا درخواستها میتوانند به طور مستقیم برای صاحب عکس فرستاده شوند. سپس لینکی برای حذف عکس ایجاد میشود که اگر توسط صاحب عکس کلیک شود، آن عکس حذف میشود.
هنگام ارسال پیام، دو پارامتر Photo_id و Owners Profile_id آسیب پذیر هستند. اگر این پارامترها تغییر کنند، هکرها میتوانند هر لینک حذف عکس را بدون آگاهی صاحب آن دریافت کنند.
هر عکس دارای مقدار "fbid" است که میتوان آن را از طریق URL فیسبوک یافت. پس از آنکه شناسه عکس امن شد، دو حساب کاربری فیسبوک یکی به عنوان فرستنده و دیگری به عنوان گیرنده میتواند برای دریافت "لینک حذف عکس" مورد استفاده قرار گیرد.
Kumar گفت: هر عکسی میتواند از صفحات کاربران برداشته شود، تصاویر به اشتراک گذاشته شده و برچسب گذاری شده می توانند حذف شوند و عکسها میتوانند از گروهها، صفحات و پستهای پیشنهاد شده بدون محدودیتی برداشته شوند.
Kumar به دلیل کشف این رخنه از طرف برنامه Bug Bounty برنده جایزه شد. این برنامه محققان را ترغیب میکند تا یافتههای خود را گزارش داده و جایزه مالی دریافت کنند. رخنه موجود در فیسبوک برطرف شده است.