Előd
7 °C
16 °C

Bárki törölhette bármelyik Facebook-fotót

2013.09.03. 11:34

Egy biztonsági szakember, Arul Kumar felfedezett egy programhibát, amit kihasználva bárki törölhetett fotókat a Facebookról, függetlenül attól, hogy a sajátjáról, vagy akár az alapító Mark Zuckerbergéről volt szó. Két hete egy másik palesztin hekker azt mutatta be Zuckerberg falán, hogyan lehet engedély nélkül linket kitenni oda. A mostani szinént a tulajdonos oldalán demonstrált, neki mégis fizetnek. A különbség annyi, hogy Arul csak szemléltette a dolgot, de nem módosított a fiókon.

A Facebook hibakereső programjában különböző összegeket lehet kapni egy-egy programhiba bejelentéséért: az alap 500 dollár, az átlag 1500 körül van. A mostani felfedezés 12 500 dollárt (2,8 millió forint) ért a biztonsági szakembernek, annyira egyszerű volt reprodukálni. Elég volt néhány paramétert megváltoztatni az URL-ben, és máris törlődött a kívánt fotó.

Arul szerint a hiba a beállításokat összegyűjtő oldal miatt keletkezett: itt lehet átnézni a dolgainkat, engedélyezni és eltüntetni például bejelöléseket, spamnek jelölni posztokat vagy fotókat. Ha egy felhasználó jelentett egy képet, és a Facebook úgy döntött, hogy nem törli erőszakkal, a feljelentő felhasználó kapott egy linket, amivel küldhetett levételi kérést annak, aki feltöltötte a képet: járt hozzá egy törlés gomb is, ez okozta a funkció vesztét.

Néhány szám megváltoztatásával bármilyen képet, bármelyik felhasználótól le lehetett törölni, attól függetlenül, hogy hozzá tartozott, vagy valaha jelentették-e. A támadást elszenvedő fél ráadásul semmit nem észlel az egészből, egészen addig, amíg el nem tűnik a fotója. A hibát mostanra befoltozták.