Irgend so ein Typ herausgefunden, wie man jedes Foto auf Facebook löschen

Ein Sicherheitsexperte hat vor kurzem eine ernsthaft überraschende Entdeckung. Mit nur vier Zeilen Code sagt er, dass er Fotoalbum auf Facebook löschen könnte. Zuck Hochzeitsfotos? Zap. Ihren High School Abschluss Album? Für immer verloren. Glück für Sie, beschloss er, den Fehlerbericht an Facebook, der prompt ihm einen Scheck entzieht.

Lassen Sie uns ein zweites sichern. Es war möglich, zufällige Fotoalben mit vier Zeilen Code löschen? Es scheint wie Facebooks gut bezahlten Sicherheitsteam sichergestellt haben würde, dass Benutzerdaten jederzeit sicher war. Aber auch die robuste Fehler-Überprüfung Dinge vermisst. Thats, warum Facebook hat ein Bug-Bounty-System. Mehr dazu in einer Sekunde. Erste dieser verschwindenden Foto Album Fehler betrachten.

Laxman Muthiyah, dem weißen Hut in Frage, sagt er war mit Facebooks Graph API, Basteln, wenn er fragte sich: "Was ist, wenn Ihre Fotos ohne Ihr Wissen gelöscht? Natürlich ist das sehr ekelhaft ist es nicht?" Also, natürlich, er versucht herauszufinden, wie. Und es war nicht einmal so schwer durch den Klang der es:

Ich beschloss, es mit Facebook für mobile Access-Token zu versuchen, weil wir Löschoption für alle Foto-Alben in Facebook mobile Anwendung, die es nicht sehen können? Ja und auch verwendet die gleichen Graph-API. so nahm eine Album-Id & Facebook für Android zugreifen Token von mir und versuchte es.

Es gibt ein paar Begriffe drin, die Auspacken brauchen. Eine Facebook-Zugangs-Token ist eine Zeichenfolge, die eine app auf einem Benutzerprofil zugreifen kann. Sie wissen, wann Sie gehen um sich ein Spiel mit deinem Facebook-Profil, zum Beispiel Facebook anzumelden erzeugt eine einzigartige Zugriffstoken für diese Aufgabe. Laxman verwendet einen Token für die Facebook für Android app und ein zufälliges Foto Album-ID – eine zufällig generierte Zeichenfolge von Zahlen, die in die URL eines Foto-Album oder Fotos in einem Album erscheint. Es scheint, nach dem "löschen /" Befehl unten.

Hier ist was die daraus resultierenden API-Aufruf, alle vier Textzeilen aussah:

Fordern Sie:-

LÖSCHEN /518171421550249 HTTP/1.1
Host: graph.facebook.com
Content-Length: 245
Zugriffstoken =

Und hier ist was Facebooks Server zurückgesendet:

Antwort:-

True

Mit anderen Worten: Album gelöscht. Sie können beobachten, Laxman den Hack ausführen und versuchen, das Album nach der Anfrage in das YouTube-Video unten zu sehen. Das Album ist auf jeden Fall Weg. Laxman sagte, dass er den Bug gemeldet hat, Facebook, und das Unternehmen innerhalb von zwei Stunden behoben.

Als nackt Sicherheit Blogger Mark Stockley weist darauf hin, könnte Laxman eine Menge Schaden mit diesem wertvollen wissen getan habe. Da die Album ID-Nummern sequenziell sind, könnte er gebaut haben einen Bot zu durchlaufen und systematisch alle Alben löschen. Oder statt Facebook als Geisel, um eine große Belohnung erhalten.

"Er könnte es, gemolken", sagt Stockley, "hielt seine Entdeckung unter Verschluss (jemand weniger aufrechte eine Chance, es zu finden), eine PR-Firma engagiert und es einen Phantasienamen gegeben." Wie Heartbleed — oder vielleicht Facebleed in diesem Fall. Aber er tat es nicht; Laxman den Bug gemeldet hat Facebook einige weißen Hut Hacker Prince.

Der Fehler ist nun vollständig behoben. (Wir haben Facebook um die Details des Fehlers bestätigen kontaktiert und werden diesen Beitrag aktualisieren, wenn sie wieder zu uns kommen.) Erraten, wie viel Facebook ihn bezahlt, ein Held: $12.500. Vielleicht sollte Facebook tack eine Null am Ende des genannten Betrags und Laxman zu kommen und arbeiten für ihre Security-Team nur zu mieten. Sie brauchen natürlich die Hilfe. [7xter über nackte Security]

Update: Facebook schickte uns diese Aussage:

Wir haben einen Bericht über ein Thema mit unserer Grafik-API und schnell behoben, es innerhalb von zwei Stunden die Ansprüche zu überprüfen. Um klar zu sein, müsste dieses Problem auslösen erforderlichen Kenntnisse der ID des Ziel-Foto-Album, als auch die Berechtigung zum Anzeigen des Albums, basierend auf dem Album-Privatsphäre-Einstellungen. Wir möchten die Forscher zu danken, der uns durch unsere Bug-Bounty-Programm das Problem gemeldet.

GIF von Adam Clark Estes