Lỗ hổng được tiết lộ bởi nhà nghiên cứu Samip Aryal theo chương trình Bug Bounty của Facebook năm 2024.

Theo Aryal, lỗ hổng xảy ra trong quá trình đặt lại mật khẩu Facebook, đặc biệt là tùy chọn mã xác thực duy nhất 6 chữ số được gửi đến một thiết bị khác mà người dùng đăng nhập. Mã này được cung cấp để xác minh danh tính người dùng và hoàn tất tiến trình đặt lại mật khẩu.

Phân tích truy vấn được gửi bởi trình duyệt khi tùy chọn đặt lại mật khẩu được dùng cho thấy mã duy nhất đã được kích hoạt trong khoảng 2 giờ và không có biện pháp bảo vệ trước kiểu tấn công brute-force.

Kẻ tấn công chỉ cần biết tên người dùng mục tiêu từ đó sử dụng công cụ kiểm thử thâm nhập như Burp Suite để thực hiện brute-force mã 6 chữ số, từ đó cho phép chúng đặt lại mật khẩu tài khoản mục tiêu hoặc đơn giản là truy cập vào tài khoản đó.
Khi lỗ hổng bị khai thác, người dùng mục tiêu nhận được thông báo từ Facebook. Thông báo này một là trực tiếp gửi mã xác thực gồm 6 chữ số, hoặc hai là yêu cầu người dùng nhấn vào thông báo để xem mã. Ở tùy chọn thứ 2 sẽ biến thành mã khai thác one-click (một lần nhấp) thay vì khai thác zero-click.

Lỗ hổng đã được báo cáo cho Facebook vào ngày 30/01 và được vá vào ngày 02/02.

Chương trình Bug Bounty của Facebook sẽ thưởng khoảng 5.000 USD đến 130.000 USD cho người báo cáo lỗ khổng chiếm quyền tài khoản này tùy theo mức độ.