Bermodalkan Burpsuite, Anand Prakash bisa melakukan bruteforce 6digit random key dari Facebook untuk melakukan autentifikasi saat mengganti password Facebook.
Bug ini sendiri sangat fatal karena sebelumnya facebook tidak memberi batasan untuk percobaan submit random key nya. Sehingga memungkinkan hacker untuk melakukan bruteforce secara terus menerus tanpa terkena limit.
Bug yang terkesan sederhana namun sangat fatal. Saat ini bug tersebut sudah ditutup setelah Anand Prakash melaporkan bug itu ke pihak Facebook.
Dan berikut bukti reward facebook nya :
Dia juga menulis tentang bagaimana dia mendapatkan $15000 tersebut di blog nya :
[Responsible disclosure] How I could have hacked all Facebook accounts
Anand Prakash melaporkan bug tersebut ke Facebook pada 22 februari 2016, dan mendapaktan reward $15000 pada 2 Maret 2016. Jumlah yang tidak sedikit.
