Bárki képeit lehetett törölni a Facebookon
Nagyon komoly hibát talált egy fejlesztő, miközben a Facebook Graph API-jának lehetőségeit próbálgatta: a megfelelő adatvédelmi beállításokkal ellátott – tehát általa is megtekinthető – albumokat bármelyik felhasználónál törölni tudta, egy egyszerű API-hívással. A vállalat az értesítést követően lényegében azonnal javította a sérülékenységet.
A Facebook háza táján előszeretettel keresgélnek külsős fejlesztők és biztonsági szakértők hibák után, a vállalat ugyanis Bug Bounty programjának keretében tisztességes összeget szokott fizetni az újonnan felfedezett és elsőként nekik bejelentett sérülékenységekért. Az eddigi legmagasabb kifizetés 33 500 dollár volt, ezt tavaly kapta egy brazil szakember egy kritikus, a webszerver tetszőleges állományához hozzáférést lehetővé tevő rés megtalálásáért.
Response: true
Laxman Muthiyah a Graph API albumkezelésre vonatkozó részével kísérletezett, ami a fejlesztői dokumentáció szerint nem ad lehetőséget az albumok törlésére. A fejlesztő ezt ki is próbálta egy saját albumán graph explorer hozzáférési tokent használva, a művelet pedig várakozásának megfelelően nem sikerült. A hibaüzenet megfogalmazása azonban felkeltette az érdeklődését, mert abban nem az állt, hogy a törlés egyáltalán nem létező vagy minden esetben tiltott, hanem az, hogy erre a hívásra az adott alkalmazásnak nincs lehetősége.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
Ez a szemantikai nyom serkentette arra, hogy tovább kutakodjon. Úgy döntött, hogy a mobilkliens hozzáférési tokenjével folytatja, mert az alkalmazásban minden albumnál adott a törlés lehetősége, így ennél az appnál a fenti példából kiindulva a siker lehetősége is fennállt. A hiba megtalálását ismertető blogbejegyzése szerint ötlete bevált, a korábbi hibaüzenet helyett immár csak a művelet sikerességét igazoló válasz érkezett a szervertől.
How I Hacked Your Facebook Photos | Deleting any photo albums on Facebook using Graph API
Még több videóMuthiyah azonban nem elégedett meg ennyivel – kíváncsi volt, hogy az album azonosítójának ismeretében más felhasználók képeit is el tudja-e távolítani a Facebookról. Ez is bejött, így a hiba kihasználásával gyakorlatilag bármelyik felhasználó bármelyik albumát törölni tudta volna a Facebookról, amennyiben annak azonosítójához hozzáfért (azaz az albumnak nyilvános státuszt adott tulajdonosa).
12 500 dollár járt érte
A fejlesztő azonnal jelentette a hibát a Facebooknak, a vállalat pedig alig néhány óra alatt javította azt. Muthiyah ( akinek az elmúlt években ez volt a harmadik hivatalos hibabejelentése) a sérülékenység kihasználásáról egy videót is készített, munkáját a cég 12 500 dollárral jutalmazta.