O especialista indiano publicou os detalhes do problema em seu blog pessoal depois de já ter aguardado que o Facebook solucionasse a falha (Veja aqui).
O Facebook recompensa em dinheiro qualquer um que contribuir com informações sobre falhas na rede social, mas o valor pago nesse caso foi mais alto que o de costume.
O problema estava em uma função do Facebook que permite a um usuário denunciar uma foto ao Facebook como inapropriada.
Quando a rede social não remove a foto, o internauta tem a opção de enviar uma solicitação a quem fez o upload da mesma, que receberá uma notificação dizendo que alguém gostaria que a foto fosse apagada. Essa tela possui um link para que aquele que enviou a foto possa imediatamente apagar a imagem.
No entanto, qualquer outro usuário do Facebook poderia acessar esse mesmo link e apagar a imagem, porque a rede social não verificava se o usuário logado era o mesmo do dono da foto.
Dessa forma, era preciso apenas saber o link, o que também era possível adivinhar. Com isso, qualquer foto na rede social poderia ser apagada, apenas acessando endereços específicos. Kumar publicou um
vídeo demonstrando como era possível adivinhar os valores numéricos do endereço a ser acessado ( (Veja o vídeo).