Bug-ul care permitea ştergerea oricărei poze făcută publică în reţeaua Facebook

[pulse.exe]

Prezentă în componenta Graph API, folosită pentru comanda de ştergere a albumelor cu poze, vulnerabilitatea descoperită de cercetătorul Laxman Muthiyah putea fi exploatată pentru a şterge orice album public de pe Facebook. Descoperirea făcută şi apoi raportată administratorilor Facebook a fost recompensată pe loc cu suma de 12500 dolari.

 

Rolul funcţiei implementate prin Graph API este de a permite utilizatorilor să-şi şteargă propriile albume cu poze folosind o singură comandă, corespunzătoare butonului "delete album" afişat în interfaţa pentru mobil. Din cauza unei erori de programare, această funcţie putea fi exploatată abuziv, vizând orice album cu poze la care utilizatorul are acces pentru vizionare, chiar şi cele postate de alţi utilizatori.

 

 

După mai multe verificări, Muthiyah a găsit formularea perfectă, prin care putea comanda ştergerea oricărui album de pe Facebook:

 

 

Tratând problema cu maximă seriozitate, administratorii Facebook au anunţat corectarea bug-ului după numai două ore de la raportare. Probabil, remediul a fost unul simplu, constând doar în modificarea permisiunilor acordate aplicaţiei pentru mobil. Teoretic, dacă ar fi fost exploatat într-un atac de amploare împotriva reţelei de socializare, bug-ul descoperit în componenta Graph API ar fi permis ştergerea în masă a pozelor publice de pe Facebook.