Irgend so ein Typ herausgefunden, wie man jedes Foto auf Facebook löschen


Ein Sicherheitsexperte hat vor kurzem eine ernsthaft überraschende Entdeckung. Mit nur vier Zeilen Code sagt er, dass er Fotoalbum auf Facebook löschen könnte. Zuck Hochzeitsfotos? Zap. Ihren High School Abschluss Album? Für immer verloren. Glück für Sie, beschloss er, den Fehlerbericht an Facebook, der prompt ihm einen Scheck entzieht.

Lassen Sie uns ein zweites sichern. Es war möglich, zufällige Fotoalben mit vier Zeilen Code löschen? Es scheint wie Facebooks gut bezahlten Sicherheitsteam sichergestellt haben würde, dass Benutzerdaten jederzeit sicher war. Aber auch die robuste Fehler-Überprüfung Dinge vermisst. Thats, warum Facebook hat ein Bug-Bounty-System. Mehr dazu in einer Sekunde. Erste dieser verschwindenden Foto Album Fehler betrachten.

Laxman Muthiyah, dem weißen Hut in Frage, sagt er war mit Facebooks Graph API, Basteln, wenn er fragte sich: "Was ist, wenn Ihre Fotos ohne Ihr Wissen gelöscht? Natürlich ist das sehr ekelhaft ist es nicht?" Also, natürlich, er versucht herauszufinden, wie. Und es war nicht einmal so schwer durch den Klang der es:

Ich beschloss, es mit Facebook für mobile Access-Token zu versuchen, weil wir Löschoption für alle Foto-Alben in Facebook mobile Anwendung, die es nicht sehen können? Ja und auch verwendet die gleichen Graph-API. so nahm eine Album-Id & Facebook für Android zugreifen Token von mir und versuchte es.

Es gibt ein paar Begriffe drin, die Auspacken brauchen. Eine Facebook-Zugangs-Token ist eine Zeichenfolge, die eine app auf einem Benutzerprofil zugreifen kann. Sie wissen, wann Sie gehen um sich ein Spiel mit deinem Facebook-Profil, zum Beispiel Facebook anzumelden erzeugt eine einzigartige Zugriffstoken für diese Aufgabe. Laxman verwendet einen Token für die Facebook für Android app und ein zufälliges Foto Album-ID – eine zufällig generierte Zeichenfolge von Zahlen, die in die URL eines Foto-Album oder Fotos in einem Album erscheint. Es scheint, nach dem "löschen /" Befehl unten.

Hier ist was die daraus resultierenden API-Aufruf, alle vier Textzeilen aussah:

Fordern Sie:-

LÖSCHEN /518171421550249 HTTP/1.1
Host: graph.facebook.com
Content-Length: 245
Zugriffstoken =

Und hier ist was Facebooks Server zurückgesendet:

Antwort:-

True

Mit anderen Worten: Album gelöscht. Sie können beobachten, Laxman den Hack ausführen und versuchen, das Album nach der Anfrage in das YouTube-Video unten zu sehen. Das Album ist auf jeden Fall Weg. Laxman sagte, dass er den Bug gemeldet hat, Facebook, und das Unternehmen innerhalb von zwei Stunden behoben.

Als nackt Sicherheit Blogger Mark Stockley weist darauf hin, könnte Laxman eine Menge Schaden mit diesem wertvollen wissen getan habe. Da die Album ID-Nummern sequenziell sind, könnte er gebaut haben einen Bot zu durchlaufen und systematisch alle Alben löschen. Oder statt Facebook als Geisel, um eine große Belohnung erhalten.

"Er könnte es, gemolken", sagt Stockley, "hielt seine Entdeckung unter Verschluss (jemand weniger aufrechte eine Chance, es zu finden), eine PR-Firma engagiert und es einen Phantasienamen gegeben." Wie Heartbleed — oder vielleicht Facebleed in diesem Fall. Aber er tat es nicht; Laxman den Bug gemeldet hat Facebook einige weißen Hut Hacker Prince.

Der Fehler ist nun vollständig behoben. (Wir haben Facebook um die Details des Fehlers bestätigen kontaktiert und werden diesen Beitrag aktualisieren, wenn sie wieder zu uns kommen.) Erraten, wie viel Facebook ihn bezahlt, ein Held: $12.500. Vielleicht sollte Facebook tack eine Null am Ende des genannten Betrags und Laxman zu kommen und arbeiten für ihre Security-Team nur zu mieten. Sie brauchen natürlich die Hilfe. [7xter über nackte Security]

Update: Facebook schickte uns diese Aussage:

Wir haben einen Bericht über ein Thema mit unserer Grafik-API und schnell behoben, es innerhalb von zwei Stunden die Ansprüche zu überprüfen. Um klar zu sein, müsste dieses Problem auslösen erforderlichen Kenntnisse der ID des Ziel-Foto-Album, als auch die Berechtigung zum Anzeigen des Albums, basierend auf dem Album-Privatsphäre-Einstellungen. Wir möchten die Forscher zu danken, der uns durch unsere Bug-Bounty-Programm das Problem gemeldet.

GIF von Adam Clark Estes

Verwandte Artikel

Wie man die Zahlen auf Facebook-Status-Spiel zu spielen: ist es wirklich die nächsten viralen Hit?

Eine neue Woche, eine weitere virale Facebook -Spiel. Die unterhaltsame und weit verbreitete Invasion der Cartoon Charakter Avatare auf Facebook ist wie, also gestern, was gibt es Neues in dieser Woche? Die Zahlen auf Facebook-Status-Spiel natürlich....

Es gibt viele Leoparden, keine Verletzten. Ein Dorf herausgefunden, wie man es zu tun.

Wenn Menschen und große fleischfressende Tiere in der gleichen Region Leben, es werden unweigerlich zu Blutvergießen, richtig? Nicht unbedingt. Ein Bereich in Indien ist lausig mit Leoparden, und nicht nur Menschen nicht besorgt sind, einige nicht sogar g...

Ein trauriger Abschied: Wie man Kindern den Tod erklären

Wenn ich unsere 7 jährige Tochter Ella, die ihre Ur-Großmutter gestorben ist erzählen, fällt ihr Lächeln ihren Mund und setzt sich in einer geraden Linie. Wir sind sitzen auf dem Boden mit gekreuzten Beinen, die Knie berühren. "Wie sie sterben?"...

Astronomen herausgefunden, wie man ganze Planeten mit Starlight wiegen

Mit einem Gewicht von einem Planeten, ist eine schwierige Aufgabe. Ich meine, es ist nicht, wie Sie sie nur auf eine Personenwaage stellen können. Und während Astronomen herausgefunden, wie man die Masse des Planeten in unserem Sonnensystem vor langer Zei...

Stammzellforscher nur herausgefunden, wie man neue Embryonen zu erzeugen

Ein Team von Forschern an der University of Virginia nur wissenschaftliche Geschichte gemacht: sie herausgefunden, wie man Stammzellen in ausgewachsenen Fischembryonen zu verwandeln. Das heißt, können Wissenschaftler embryonale Entwicklung, einen Schlüsse...

Zu viele Fotos auf Facebook teilen macht die Menschen wie Sie weniger

Wir alle haben diesen Freund. Derjenige, der 4.000 Fotos von ihren Spaß hochgeladen hat, das Fußballspiel stolpert und ihren Spaß Ausflüge in die Berge und ihr Spaß Ausflüge zum Strand und sie Ausflüge zu den Bars Spaß und ihr Reisen nach überall Spaß. Wi...

Warum die Mutter ein Baby Krebspatienten nicht aufhören, ihr Foto auf Facebook posten

Heutzutage Facebook sowie Baby-Buch genannt werden, mit den Eltern überall fröhlich Entsendung liebenswert Schnappschüsse der kleinen Lächeln, Krabbeln und Verschmieren mushed Erbsen über ihre Gesichter. Aber Trisha Bumpus ist fruchtbarer als die meisten....

Apple kann habe endlich herausgefunden, wie man einen Liquidmetal iPhone

Die unglaublich viel versprechende Metalllegierung aus Liquidmetal gibt es schon eine Weile, aber niemand ist wirklich gelungen, herauszufinden, wie man die schwierige Herstellung Material für einen guten Zweck – bis jetzt. Nach ein neues Patent von Elect...

Hacker herausgefunden, wie man Kapern Versand Vessel Tracking Systeme

Ein Team von white Hat Hacker vor kurzem herausgefunden, wie in der Navigationstechnologie verwendet, um 400.000 Schifffahrt Schiffe weltweit verfolgen zu brechen. Mit dieser Art des Zugangs könnten sie theoretisch machen es scheinen, als ob eine Flotte v...

MIT Wissenschaftler herausgefunden, wie man mit einem Kartoffelchip-Tasche zu belauschen

In einem Szenario direkt von "verbessern, verbessern!," MIT-Wissenschaftler haben herausgefunden, dass die winzigen Vibrationen auf alltägliche Gegenstände wie eine Kartoffel-Chips-Tasche oder einem Glas Wasser oder sogar eine Pflanze in verstän...

Wissenschaftler nur herausgefunden, wie man blitzschnell Graphen CPUs machen

Graphen hat die Kraft zur Veränderung computing für immer machen die schnellsten Transistoren überhaupt. In der Theorie. Wir haben nicht nur herausgefunden, wie noch. Klingt das vertraut? Glücklicherweise, Wissenschaftler nur einen großen Schritt näher er...

Warum hatte Ihre Internet-Verbindung nur eine Freakout (und wie man es beheben)

Es gibt eine Chance Ihre Internet-Verbindung nur fritzed, für 20 Minuten oder so und ließ Sie Webseiten laden. Wenn Sie aufgepasst haben, aber Sie würden gesehen haben, dass andere Dienste, wie Ihre Chatrooms oder ein Twitter-Client, funktioniert ganz gut...

Überziehung oder eine "Überweisung"? Wie man die Kosten für Weihnachten zu erleichtern

Bevor Ihre Bankkonten und Kreditkarten einen stampfenden nehmen, lohnt es sich erforschen den tatsächlichen Preis zahlen Sie für die Festtage Das Weihnachtsfest ist Ausgaben Saison rückt immer näher, und Bankkonten und Kreditkarten wird ein Stampfen...

Schüler-Bands: wie man einen Platz auf einem Festival Line-up sichern

Träumen Sie auf einem großen Musikfestival wie Latitude zu spielen? Mit Ausdauer, Klatsch und Tratsch und eine ganze Ladung von Jiffy Taschen könnten Sie es möglich machen "Musik-Festivals neue Bands die Chance zu erproben, auf großen Bühnen mit groß...