Anand Prakash não estava à procura de falhas, mas “tropeçou” na vulnerabilidade e alertou os responsáveis da rede social de Zuckerberg. O Facebook, ao abrigo do programa de caça de bugs, atribuiu-lhe uma recompensa de 15 mil dólares por ter sido partilhada a forma como a vulnerabilidade funcionava e como permitia que hackers obtivessem acesso indevido às contas dos utilizadores.

O investigador conseguiu mesmo o acesso a várias contas que estavam «sem qualquer interação do utilizador» e viu informação aí guardada, como mensagens, fotos, vídeos e até dados financeiros guardados na área de pagamentos do Facebook. Segundo notícia da CNet, Prakash explica que o Facebook não tinha implementado determinados protocolos de segurança, o que permitia que hackers pudessem solicitar a recuperação da password destas contas, sem que o utilizador legítimo se apercebesse. Estas contas estavam localizadas em páginas beta, como beta.facebook.com ou mbasic.beta.facebook.com e não havia mecanismos eficientes para evitar ataques de força bruta ou para bloquear os perfis depois de algumas tentativas falhadas de login.

Na página principal do Facebook, acedida diariamente por milhões de utilizadores, estes mecanismos estão implementados e não será possível explorar uma vulnerabilidade semelhante.