الثغرة كانت بتمكن المهاجم الوصول لكل الـ Admins المشرفين على الصفحات اللى على الـ Facebook فى بعض الاوقات بتحتاج تعرف الـ Admins بتوع الصفحة لاي سبب بس بما ان الـ Facebook مش سامح بكدة زى الجروبات فأننا نقدر نعرف الـ Admins دى كدة تبقى Security Vulnerability.
قدر الباحث المصرى Mohamed A. Baset اكتشاف الثغرة فى الـ Facebook معلومات حساسة جدا عن الصفحات وانوا يقدر يعرف الـ Admins للصفحات اللى على الـ Facebook ودى حاجة مش مدعومة من الـ Facebook انك تعرف الـ administrator's profiles ودى معلومة مينفعش تبقى معروفة للعامه.
قال محمد عبد الباسط انه اكتشف الثغرة فى اقل من 3 دقائق بدون اى تعب او اختبارات او اي عمليه تسهلك وقت, عبد الباسط قام بوصف هذه الصغرة بانها logical error | خطا منطقى .
اضاف الـ Facebook ميزة جديدة بحيث يمكنهم اسال دعوة للمستخدمين يسالهم اذا كانوا يريدون الاعجاب بصفحتهم, بعد بضع ايام قد يتم ارسال بريد الكترونى يذكرهم بالدعوة.
بعد ما تلقى عبد الباسط بريد الكترونى كدعوة, قام فتح الـ show original فى الـ drop-down menu من خيارات البريد الالكترونى. قام بفتح الـ source code الخاص بالبريد الالكترونى وقد لاحظ ان الصفحة تحتوى على اسماء للـ Admins وبعض المعلومات الاخرى.
قام محمد عبد الباسط بارسال تقرير للـ Facebook Security Team فى الحال عن طريق Bugcrowd, اعترف الـ Facebook بالثغرة وكافأ عبد الباسط 2,500$ على هذا الاكتشاف.
قام الـ Facebook بحل هذه المشكلة ولكن بعض الناس من اللذين اتسلموا البريد الالكترونى يستطيعون ان يعرفوا اسماء الـ Admins للصفحة, يمكنك قراءة التقرير اللذى كتبه محمد عبد الباسط من هنا على مدونته.