Nieuwe features in software brengen altijd bugs met zich mee. Toch zijn sommige erger dan andere. Toen Facebook eerder deze maand een nieuwe pollfunctie online gooide, die mensen in staat stelde om vragen te stellen waar je op kon stemmen, zette het ook een achterdeur open voor hackers die dankzij dit achterdeurtje iedere foto op het netwerk konden verwijderen.

Veiligheidsonderzoeker Pouya Darabi ontdekte de bug begin november. Toen iemand een poll aanmaakte, ontdekte hij, stuurde dat een verzoek naar de servers van Facebook met een unieke ID van de bijgevoegde foto of GIF. Op dat punt, legt Darabi in een blogpost uit, kon hij die ID vervangen met de ID van elke willekeurige foto op het netwerk, zelfs foto’s die andere mensen hadden geüpload.

Op die manier zou de poll die hij had aangemaakt foto’s bevatten van andere mensen, ook als die niet openbaar zichtbaar waren. Als hij vervolgens zijn eigen poll zou verwijderen, zou de bijgevoegde afbeelding (die hij van iemand anders zijn profiel had geplukt) compleet worden verwijderd van Facebook – en niet alleen uit de poll. Het is onduidelijk hoe Darabi achter de ID van andermans foto kon komen, maar het is mogelijk dat een kwaadwillende hacker alleen maar net zo lang een willekeurig getal hoefde te raden tot hij of zij een afbeelding kreeg.

Darabi maakte een video om te laten zien hoe de bug werkt:

Facebook fixte de bug snel nadat Darabi die aangaf, volgens de onderzoeker. Voor zijn ontdekking gaf Facebook Darabi een beloning van meer dan 8000 euro, zei hij. In een e-mail naar Motherboard bevestigde Facebook het verhaal van de onderzoeker.

Dit is niet de eerste keer dat onafhankelijke veiligheidsonderzoekers zulke bugs gevonden hebben op Facebook. In 2015 vond een andere onderzoeker ook al een bug die hem iedere foto op de site kon laten verwijderen. Anderen hebben vergelijkbare bugs gevonden waarmee ze reacties en video’s konden verwijderen. Al deze bugs zijn inmiddels gefixt.

En verschrikkelijke bugs zijn er natuurlijk niet alleen op Facebook. Vorige maand kwam een veiligheidsonderzoeker erachter dat hij bij een lijst van alle bugs in Google kon komen zonder enige toestemming. Daardoor hadden kwaadwillende hackers een waarschuwing vooraf kunnen krijgen van zwakke plekken in Google, wat ze in hun voordeel hadden kunnen gebruiken totdat ook die bugs gefixt waren.