21-летний индийский инженер-электронщик Арул Кумар (Arul Kumar), который описывает себя как «энтузиаста в сфере компьютере безопасности со страстью к этичному хакингу», обнаружил серьезную уязвимость в Facebook, которая позволяла любому желающему удалить произвольную фотографию с сайта, независимо от того, какому пользователю принадлежит эта фотография. Процесс занимает меньше минуты и не требует взаимодействия с самим пользователем, чья фотография удаляется.
Такая возможность существовала из-за уязвимости в мобильной версии портала Support Dashboard, на котором пользователи могут отслеживать ход выполнения своих запросов относительно контента на сайте, в том числе запросы на удаление чужих фотографий. В случае, если пользователь просит администрацию сайта удалить какую-то дискредитирующего его фотографию из чужого фотоальбома, а Facebook отказывается это сделать, то пользователю предоставляют возможность отправить прямое сообщение владельцу фотоальбома. В этом случае Facebook генерирует URL для удаления фотографии, которую и отправляют владельцу. Переход по этой ссылке приводит к мгновенному удалению файла.
Кумар обнаружил, что некоторые параметры генерируемого URL — photo_id и Owners Profile_id — можно заменить на другие.
За сообщение о данной уязвимости Аруд получил вознаграждение $12 500 по программе выплаты вознаграждений за найденные баги.
Как всегда в таких случаях, нужно заметить: хорошо, что уязвимость уже устранена, но такие баги вообще не имеют права на существование.
