Whitehathacker Orange Tsai ontdekte sporen van een backdoorscript op de bedrijfsservers van Facebook. Via het script op de servers van de socialmediagigant wisten hackers vermoedelijk wachtwoorden en gebruikersnamen van medewerkers in handen te krijgen.
Orange kwam op het spoor van de kwetsbaarheden door via een omgekeerde whois-zoekactie de domeinnamen van Facebook door te lichten. Hij kwam daar een domeinnaam tfbnw.net tegen, wat voor 'The Facebook Network' staat. Vervolgens ontdekte hij vpn.tfbnw.net, schrijft hij op zijn blog.
Daarna zocht hij verder binnen de ip-adressen van Facebook en kwam op het domein files.fb.com tussen verschillende klasse-c-ip-adressen uit. Het files-domein werd door Facebook-werknemers gebruikt voor het delen van bestanden via Accellions Secure File Transfer-applicatie FTA. Orange ontdekte in totaal zeven bugs in FTA en kon via de kwetsbaarheden verder de servers van Facebooks medewerkers binnendringen.
Door bestaande log-data door te nemen op de servers, ontdekte Orange dat er een op php-gebaseerde backdoor bestond, ook wel bekend als PHP Web Shell. Deze shell zou opgezet kunnen zijn door een hacker. Via de hack zouden gegevens van zo'n 300 medewerkers in handen gekregen zijn.
Nadat Orange voldoende informatie had verzameld, lichtte hij het Facebook Security Team in. Voor het vinden en melden van de bug kreeg Orange 10.000 dollar. Orange zelf werkt voor een Taiwanese beveiligingsfirma Devcore.
Facebook reageerde later op Hacker News met de mededeling dat het bedrijf niet de volledige controle over alle software heeft. Ook zouden de systemen volgens de Facebookmedewerker los staan van andere systemen, ofwel de systemen die gebruikt worden voor de site zelf. In de reactie maakt de medewerker van Facebook duidelijk dat wat Orange ontdekte, voortkwam uit onderzoek van een andere beveiligingsonderzoeker die meedoet aan het bounty program van Facebook.