Уязвимость Facebook позволяет удалять опубликованные фото

Исследователь из Индии Арул Кумар (Arul Kumar) получил премию в $12,5 тыс за найденную в Facebook опасную уязвимость. Ошибка в Facebook Support Dashboard была признана критической, поскольку позволяла выполнять несанкционированные действия из любого браузера. Наиболее успешно эксплуатировалась мобильная версия Dashboard.

Facebook Support Dashboard используется для отправки запроса на удаление фотографий. Сформированные сообщения анализируются сотрудниками Facebook, либо направляются владельцам изображений напрямую. Чтобы удалить изображение, его владелец должен перейти по специально сгенерированной ссылке, содержащейся в сообщении. Как оказалось, в таких сообщениях имеется целых два уязвимых параметра, Photo_id и Owners Profile_id. Достаточно иметь две учетных записи и направить из одной в другую сообщение с запросом на удаление, подкорректировав Photo_id, Owners Profile_id и значение fbid (его можно найти через Facebook URL), и система даст ссылку на удаление фото, причем владелец картинки даже знать об этом не будет.

По информации Facebook, ошибка уже исправлена. Подробный метод удаления чужих фото описан в блоге Арула Кумара.