รายงานบั๊กล่าสุดของเฟซบุ๊ก พบว่ากระบวนการรายงานขอให้ลบรูปสามารถใช้ไปลบรูปใครก็ได้ ด้วยการสร้างบัญชีผู้ใช้ขึ้นมาสองบัญชี แล้วสร้างข้อความแจ้งขอให้ลบรูปไปยังบัญชีที่สร้างขึ้นมา จากนั้นจึงนำหมายเลขประจำรูปของใครก็ได้มาใส่แทน

เมื่อส่งข้อความขอลบรูปไปแล้ว กระบวนการของเฟซบุ๊กจะส่งข้อความแจ้งไปยังบัญชีปลายทางว่ามีผู้ต้องการลบโพสของเราเข้ามา และให้เราเลือกได้ว่าจะยอมลบตามที่แจ้งมาหรือไม่

แต่เฟซบุ๊กกลับไม่ได้ตรวจสอบว่าหมายเลขโพสที่แจ้งไปนั้นเป็นบัญชีของผู้ใช้ที่ถูกแจ้งจริงหรือไม่ เราจึงสามารถหมายเลขประจำรูปภาพใดๆ ก็ได้ไปสร้าง URL แจ้งลบ แล้วล็อกอินด้วยอีกบัญชีที่เราสร้างขึ้นมาเพื่อยืนยันขอลบภาพ

เฟซบุ๊กยอมรับว่านี่เป็นบั๊กจริง และแก้ปัญหาไปแล้ว ส่วนผู้รายงานคือ Arul Kumar ได้รับเงินรางวัลจากบั๊กนี้ไป 12,500 ดอลลาร์ พร้อมกับรายงานบั๊กเล็กๆ น้อยๆ อื่นๆ อีก 1,500 ดอลลาร์

ที่มา - Arulxtronix, The Register