Végre egy mintaszerű biztonsági javítás a Facebookon

Egy indiai biztonsági szakember egy olyan súlyos biztonsági hibát fedezett fel a Facebookon, amely lehetővé tette támadó számára, hogy a fióktulajdonos bevonása nélkül képes legyen képeket törölni az adatbázisból. A hibát már javították, és a közösségi oldal hibakeresést támogató programja keretében a hacker meg is kapta a 12 500 dolláros jutalmat a felfedezésért (ebben az esetben úgy ítélte meg az üzemeltető, hogy a bejelentő a szabályok szerint járt el, nem úgy, mint egy nemrég napvilágra került ügyben, ahol a cég a szabályok meg nem tartása miatt először úgy döntött, hogy nem jár a díj).

Hirdetés

A 21 éves Arul Kumar magát nem profinak tartja, hanem a biztonsági problémák megszállottjának, és e keretben dolgozik „etikus hackerként” is. A szóban forgó hibát a Facebook mobilos verziójában fedezte el (később kiderült, hogy gyakorlatilag mindenhol működik), a támogatási oldalon, ahol a felhasználók a bejelentett panaszok következtében végrehajtott intézkedéseket követhetik nyomon, így például azt is, hogy mi a sorsa azoknak a fotóknak, melyek elhelyezése miatt valaki kifogást emelt.

Delete any Photo from Facebook by Exploiting Support Dashboard from Arul Kumar.V on Vimeo.

A probléma lényege: amint panasz érkezik egy képre, azt nem törlik automatikusan, hanem a Facebook egy értesítést küld a feltöltőnek, hogy ez és ez a helyzet, és felkínálnak egy azonnali törlést biztosító linket. Kumar azt fedezte fel, hogy az üzenetben néhány fontos paramétert könnyedén meg tud változtatni ('photo_id', illetve 'Owners Profile_id'). A hacker az információk alapján elküldött egy törlési kérést egy másik, általa kezelt fiókra vonatkoztatva, majd a megkapott linkben megváltoztatta a paramétereket, és ezzel egy olyan általános megoldáshoz jutott, amely alapján képes volt arra, hogy a közösségi oldalon bárkinek bármilyen képét törölhesse, méghozzá úgy, hogy az áldozat hozzájárulását nem kellett kérnie, sőt, az illető nem is veszi észre az akciót.

Kumar – a biztonsági hibákra vonatkozó felhasználói szabályzatot követve – értesítette a Facebook biztonsági szakembereit, akik először az általa megadott utasítások alapján nem tudták reprodukálni a törlést az áldozat jóváhagyása nélkül, de az indiai informatikus nem hagyta magát, és egy mintavideón mutatta be, hogy ha akarja, akkor Mark Zuckerberg oldaláról is képes fotókat törölni. Ez már hatott, a biztonsági csapat elismerte a hibát. Egyúttal közölték Kumarral, hogy ilyen világos és tiszta hibajelentéseket várnak, gratuláltak neki, és közölték, hogy másnapra befoltozzák a rést.

Hirdetés

Azóta történt

  • A Facebook megint trükközik

    Az új felhasználási feltételeket újra az adatvédelmi szervezetek kritizálják, akik szerint a közösség oldal elfogadhatatlan módon használja fel tagjai adatait.

  • Megvan a tizedik Hacktivity programja

    Charlie Miller, a Twitter vezető biztonsági mérnöke mellett Mikko Hypponen, az F-Secure kutatási vezetője is ott lesz a 10. Hacktivity Konferencián!

  • Egy képen a facebookozók

    Az önmagát „kreatív technológusként” definiáló Natalia Rojas másfél évnyi munkával hozta össze azt az oldalt, ami egy helyre sűríti közel 1,3 milliárd Facebook-felhasználó profilképét.

  • Hacktivity 2013. második nap

    A második napon érezhetően kevesebben voltak, de a fél tízes kezdés mindenképpen emberbarát időpontnak minősíthető, és megfelelő volt az előző este későn fekvők számára is.

Előzmények

  • Soványka átláthatósági jelentést adott ki a Facebook

    A magyar kormányzati kérések mintegy harmadát teljesítették, de azt nem tudni, hogy ezeket büntető- vagy nemzetbiztonsági ügyek kapcsán nyújtották be.

  • Korán temették a Facebookot

    A cég frissen közzétett negyedéves jelentése hatalmas meglepetést okozott, a mobilos átállás sikeresnek látszik, a fontos mutatók emelkedtek, a részvény megtáltosodott. A cél a következő ötmilliárd, de nem dollár, hanem felhasználó.