Door een fout in de bèta-site van Facebook was het mogelijk een ongelimiteerd aantal keer een resetcode voor wachtwoorden in te voeren. Met simpelweg het telefoonnummer of e-mailadres van een lid van het sociale netwerk kon de zescijferige code via bruteforce achterhaald worden.
Wie zijn wachtwoord op Facebook vergeet kan deze resetten door zijn telefoonnummer of e-mailadres in te vullen. Facebook stuurt dan een zescijferige resetcode ter authenticatie. Na 10 tot 12 keer verkeerd invoeren vervalt die code, om te voorkomen dat een kwaadwillende via bruteforce alle mogelijke codes probeert en onbevoegd het wachtwoord kan veranderen.
Bij beta.facebook.com en mbasic.beta.facebook.com bleek er echter geen limiet te staan op het aantal keer invoeren van die code, ontdekte Anand Prakash, een Indiase 'bugbountyhunter'. Hij slaagde er met behulp van de Burp Repeater-tool na een groot aantal pogingen in om de juiste resetcode te achterhalen om het wachtwoord van zijn eigen account te veranderen. Volgens hem had dit bij elk account gekund.
Facebook erkende de fout, herstelde deze en kende Prakash een bedrag van 15.000 dollar toe voor zijn ontdekking.
/i/2000593550.png?f=fpa)
/i/1281172651.png?f=fpa)
:strip_exif()/i/1296728238.gif?f=fpa)
:strip_exif()/i/1307526998.gif?f=fpa)
:strip_icc():strip_exif()/u/467108/avatar_60x60.jpg?f=community){kind=avatar}
/u/12436/p1_normal.png?f=community){kind=small}
Aangezien het wel een potentieel gevaar is, zeker als je je Facebook inlog voor meerdere services gebruikt. 
/u/30346/crop6571ad31b4cbc_cropped.png?f=community){kind=small}
:strip_exif()/u/289824/crop6106ee1ef37c7.gif?f=community){kind=small}
/u/166870/crop63f33e3c40724_cropped.png?f=community){kind=small}
/u/20302/pc.png?f=community){kind=small}
:strip_icc():strip_exif()/u/180403/rialtho_thumb.jpg?f=community){kind=small}
/u/56483/crop5b2d04280372e_cropped.png?f=community){kind=small}