Τον Σεπτέμβριο του 2012 ο ερευνητής ανακάλυψε ένα bug τύπου XML External Entity Expansion στο Drupal, το οποίο χρησιμοποιεί OpenID. To ΟpenID είναι μια ανοιχτή τεχνολογία που επιτρέπει στους χρήστες να συνδέονται σε ιστοσελίδες χωρίς να απαιτείται εγγραφή ή χρήση κωδικού πρόσβασης.
Στη συνέχεια, ο Silva ξεκίνησε να πραγματοποιεί δοκιμές και σε άλλες ιστοσελίδες προκειμένου να εντοπίσει παρόμοια σφάλματα.
Πρόσφατα ο ερευνητής έμαθε ότι η υπηρεσία του facebook “forgot password” χρησιμοποιεί επίσης OpenID, για την εξακρίβωση της ταυτότητας των χρηστών. Έτσι, έπειτα από έρευνα κατάφερε να ανακαλύψει ένα XXE bug, το οποίο και ανέφερε στο facebook.
Η εταιρεία αποκατάστησε άμεσα το θέμα της ευπάθειας και αντάμειψε τον εμπειρογνώμονα με το ποσό των 33.500 δολαρίων.
Source: