Szerző: Voith Hunor

2015. február 13. 14:41

Bárki képeit lehetett törölni a Facebookon

Nagyon komoly hibát talált egy fejlesztő, miközben a Facebook Graph API-jának lehetőségeit próbálgatta: a megfelelő adatvédelmi beállításokkal ellátott – tehát általa is megtekinthető – albumokat bármelyik felhasználónál törölni tudta, egy egyszerű API-hívással. A vállalat az értesítést követően lényegében azonnal javította a sérülékenységet.

A Facebook háza táján előszeretettel keresgélnek külsős fejlesztők és biztonsági szakértők hibák után, a vállalat ugyanis Bug Bounty programjának keretében tisztességes összeget szokott fizetni az újonnan felfedezett és elsőként nekik bejelentett sérülékenységekért. Az eddigi legmagasabb kifizetés 33 500 dollár volt, ezt tavaly kapta egy brazil szakember egy kritikus, a webszerver tetszőleges állományához hozzáférést lehetővé tevő rés megtalálásáért.

Response: true

Laxman Muthiyah a Graph API albumkezelésre vonatkozó részével kísérletezett, ami a fejlesztői dokumentáció szerint nem ad lehetőséget az albumok törlésére. A fejlesztő ezt ki is próbálta egy saját albumán graph explorer hozzáférési tokent használva, a művelet pedig várakozásának megfelelően nem sikerült. A hibaüzenet megfogalmazása azonban felkeltette az érdeklődését, mert abban nem az állt, hogy a törlés egyáltalán nem létező vagy minden esetben tiltott, hanem az, hogy erre a hívásra az adott alkalmazásnak nincs lehetősége.

Toxikus vezetők szivárványa

Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Toxikus vezetők szivárványa Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Ez a szemantikai nyom serkentette arra, hogy tovább kutakodjon. Úgy döntött, hogy a mobilkliens hozzáférési tokenjével folytatja, mert az alkalmazásban minden albumnál adott a törlés lehetősége, így ennél az appnál a fenti példából kiindulva a siker lehetősége is fennállt. A hiba megtalálását ismertető blogbejegyzése szerint ötlete bevált, a korábbi hibaüzenet helyett immár csak a művelet sikerességét igazoló válasz érkezett a szervertől.

07:15
 

How I Hacked Your Facebook Photos | Deleting any photo albums on Facebook using Graph API

Még több videó

Muthiyah azonban nem elégedett meg ennyivel – kíváncsi volt, hogy az album azonosítójának ismeretében más felhasználók képeit is el tudja-e távolítani a Facebookról. Ez is bejött, így a hiba kihasználásával gyakorlatilag bármelyik felhasználó bármelyik albumát törölni tudta volna a Facebookról, amennyiben annak azonosítójához hozzáfért (azaz az albumnak nyilvános státuszt adott tulajdonosa).

12 500 dollár járt érte

A fejlesztő azonnal jelentette a hibát a Facebooknak, a vállalat pedig alig néhány óra alatt javította azt. Muthiyah ( akinek az elmúlt években ez volt a harmadik hivatalos hibabejelentése) a sérülékenység kihasználásáról egy videót is készített, munkáját a cég 12 500 dollárral jutalmazta.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról