Facebook запуши сериозна уязвимост

Facebook обявиха, че са запушили сериозна дупка в сигурността на профилите в социалната мрежа, която може да позволи на злоумишленик да ви изтрие албума със снимките.

Откритието, направено от Лаксман Мутия (Laxman Muthiyah), е донесло на независимия разработчик награда от $12 500.

Според документацията на хората по сигурността от Facebook, албумите не могат да бъдат изтрити посредством вградените възможности на Graph API интерфейса, пише Мутия в публикация в своя блог. И след като опитал да изтрие един от своите албуми посредством токена за достъп в “graph explorer”-а, той получил съобщение за грешка, от чиито текст подсказвал, че друго приложение би могъл да изпълни това запитване към API интерфейса.

Впоследствие той открил, че използвайки токена за мобилен достъп от своето Android устройство, той получил възможността да “излъже” Facebook да изтрие фото албума на друг човек. Мутия дава и повече разяснения за начина, по който го е направил, както и PoC (proof-of-concept) код, с който доказва направеното от него откритие.

“Ние получихме доклад за проблем с апликационно-програмния интерфейс на Graph и успяхме за два часа след доклада да се справим с проблема. Нужно е да се отбележи, че, за да се възползва някой от това трябва да знае идентификационния номер на албума, както и да има разрешение да разглежда този албум. Желаем да благодарим на разработчика, който ни докладва за този проблем чрез нашата програма за съобщаване на проблеми”, заявява официален представител на социалната мрежа.