Facebook tento týždeň opravil závažnú chybu, ktorá umožňovala vymazať akékoľvek verejné fotografie a albumy používateľov tejto sociálnej siete. Bezpečnostnú dieru objavil Laxman Muthiyah, ktorý ju spoločnosti nahlásil, za čo si v rámci programu na odhaľovanie chýb vyslúžil 12,500 dolárov. Na vymazanie albumov využil chybu vo Facebook Graph API, ktoré používateľom umožňuje mazať ich vlastné fotoalbumy jediným príkazom korešpondujúcim s tlačidlom “Vymazať album”. Stačili mu na to štyri riadky kódu.
Request :-
DELETE /518171421550249 HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
access_token= facebook_for_android_access_token
Facebook po nahlásení chyby okamžite podnikol kroky na jej opravenie. Zdá sa, že chyba bola triviálna a bola opravená do dvoch hodín od poslania e-mailu Muthiyahom. Facebook však môže byť rád, že na takto závažnú bezpečnostnú chybu prišiel práve Muthiyah, ktorý ju nezneužil. Ten totižto mohol vymazať všetky verejne dostupné fotografie na sociálnej sieti, a to len pomocou vyššie uvedeného kódu. Každý album je na Facebooku označený unikátnych ID kódom, ktoré sú pri albumoch generované sekvenčne. Stačilo vytvoriť automatizovaného bota, ktorý by ich postupne prešiel všetky. Útočník, ktorý by sa takúto chybu rozhodol zneužiť, mohol vymazať milióny fotografií nič netušiacich používateľov, prípadne vydierať Facebook za účelom získania vyššej odmeny.
“Obdržali sme správu o probléme s našim Graph API a po overení sme ho v priebehu dvoch hodín odstránili”, povedal hovorca spoločnosti. “Radi by sme poďakovali nálezcovi, ktorý chybu nahlásil cez náš program nahlasovania chýb.”
Ako také vymazanie albumu mohlo prebiehať si môžete pozrieť aj na video, ktoré natočil Laxman Muthiyah.
Zdroj: nakedsecurity