Durch eine Schwachstelle hätte sich ein Programmierer aus Indien mit jedem x-beliebigen Facebook-Profil der Welt einloggen können. Er meldete den Bug an Facebook und kassierte 15.000 US-Dollar dafür.

Der indische Programmierer Anand Prakash trickste dabei den "forget password?"-Algorithmus aus. Er veranlasste ein "Passwort Zurücksetzen via E-Mail oder Telefonnummer". Daraufhin schickt Facebook einen sechsstelligen Code an die eingegebene Nummer oder Adresse, die der Nutzer in ein Feld eintragen muss. Beim Versuch dieses Zahl zu "bruteforcen", also übersetzt zu erraten, wurde Prakash von Facebook wie üblich nach 10 bis 12 Versuchen blockiert. Als er dasselbe jedoch via beta.facebook.com und mbasic.beta.facebook.com versuchte, gab es zu Prakash Erstaunen keinen Schutz vorm Bruteforcen.