В октябре 2024 года исследователь кибербезопасности Бен Садегипур выявил уязвимость в рекламной платформе Facebook*, которая позволила выполнять команды на внутреннем сервере компании. Ошибка фактически предоставила полный контроль над сервером. Садегипур сообщил об уязвимости Meta*, которая устранила проблему всего за час. В качестве вознаграждения специалисту было выплачено $100 000 в рамках программы Bug Bounty. В своём отчёте для Meta Садегипур подчеркнул, что проблема требует немедленного решения, поскольку связана с внутренней инфраструктурой компании. Meta оперативно отреагировала и попросила исследователя воздержаться от дальнейших тестов до завершения исправлений. Причиной уязвимости стал ранее исправленный недостаток в браузере Chrome, который используется в системе создания и доставки рекламы Facebook. Садегипур отметил, что ошибка позволяла использовать безголовый браузер Chrome (Headless browser) для взаимодействия с внутренними серверами Facebook. Работая совместно с другим независимым исследователем, Алексом Чепменом, Садегипур объяснил, что рекламные платформы часто становятся целью атак из-за сложной обработки данных на стороне серверов. Такие процессы, как создание и управление видео, текстовыми и графическими рекламными материалами, могут открыть множество уязвимостей. Садегипур признал, что не тестировал все возможные сценарии эксплуатации, но отметил высокую степень риска. Уязвимость позволяла получить доступ не только к отдельному серверу, но и к другим связанным ресурсам инфраструктуры. Благодаря удалённому выполнению кода (Remote Code Execution, RCE) злоумышленники могли бы обойти ограничения системы и получить доступ к данным с других серверов. По словам исследователя, аналогичные уязвимости могут быть обнаружены и в рекламных платформах других компаний, что делает проблему ещё более актуальной. На момент публикации Meta отказалась от комментариев, подтвердив только получение запроса от журналистов.