Egy indiai biztonsági szakember egy olyan súlyos biztonsági hibát fedezett fel a Facebookon, amely lehetővé tette támadó számára, hogy a fióktulajdonos bevonása nélkül képes legyen képeket törölni az adatbázisból. A hibát már javították, és a közösségi oldal hibakeresést támogató programja keretében a hacker meg is kapta a 12 500 dolláros jutalmat a felfedezésért (ebben az esetben úgy ítélte meg az üzemeltető, hogy a bejelentő a szabályok szerint járt el, nem úgy, mint egy nemrég napvilágra került ügyben, ahol a cég a szabályok meg nem tartása miatt először úgy döntött, hogy nem jár a díj).
Hirdetés
A 21 éves Arul Kumar magát nem profinak tartja, hanem a biztonsági problémák megszállottjának, és e keretben dolgozik „etikus hackerként” is. A szóban forgó hibát a Facebook mobilos verziójában fedezte el (később kiderült, hogy gyakorlatilag mindenhol működik), a támogatási oldalon, ahol a felhasználók a bejelentett panaszok következtében végrehajtott intézkedéseket követhetik nyomon, így például azt is, hogy mi a sorsa azoknak a fotóknak, melyek elhelyezése miatt valaki kifogást emelt.
Delete any Photo from Facebook by Exploiting Support Dashboard from Arul Kumar.V on Vimeo.
A probléma lényege: amint panasz érkezik egy képre, azt nem törlik automatikusan, hanem a Facebook egy értesítést küld a feltöltőnek, hogy ez és ez a helyzet, és felkínálnak egy azonnali törlést biztosító linket. Kumar azt fedezte fel, hogy az üzenetben néhány fontos paramétert könnyedén meg tud változtatni ('photo_id', illetve 'Owners Profile_id'). A hacker az információk alapján elküldött egy törlési kérést egy másik, általa kezelt fiókra vonatkoztatva, majd a megkapott linkben megváltoztatta a paramétereket, és ezzel egy olyan általános megoldáshoz jutott, amely alapján képes volt arra, hogy a közösségi oldalon bárkinek bármilyen képét törölhesse, méghozzá úgy, hogy az áldozat hozzájárulását nem kellett kérnie, sőt, az illető nem is veszi észre az akciót.
Kumar – a biztonsági hibákra vonatkozó felhasználói szabályzatot követve – értesítette a Facebook biztonsági szakembereit, akik először az általa megadott utasítások alapján nem tudták reprodukálni a törlést az áldozat jóváhagyása nélkül, de az indiai informatikus nem hagyta magát, és egy mintavideón mutatta be, hogy ha akarja, akkor Mark Zuckerberg oldaláról is képes fotókat törölni. Ez már hatott, a biztonsági csapat elismerte a hibát. Egyúttal közölték Kumarral, hogy ilyen világos és tiszta hibajelentéseket várnak, gratuláltak neki, és közölték, hogy másnapra befoltozzák a rést.
