Facebook исправила уязвимость, позволявшую удалять фотографии жертв

image

Теги: Facebook, уязвимость, вознаграждение

Использовав специальный токен доступа, злоумышленник может с помощью определенного API-вызова удалять фотоальбомы жертв.

Социальная сеть Facebook исправила уязвимость, позволяющую злоумышленникам удалять фотографии пользователей. Брешь обнаружил специалист Лаксман Мутия (Laxman Muthiyah), получив за это вознаграждение в размере $12,5 тыс.

Согласно документации Facebook для разработчиков, фотоальбомы можно удалять с помощью специального узла в API Graph. Об этом Мутия сообщил в своем блоге. Попытавшись удалить один из своих фотоальбомов с использованием токена graph explorer, он получил сообщение об ошибке, в котором указывалось, что другое приложение может осуществить этот вызов API. В конце концов специалист обнаружил, что при помощи токена доступа с мобильного устройства на Android-девайсе можно вынудить систему удалить фотоальбом другого пользователя.

Пресс-секретарь Facebook сообщил, что ошибка была исправлена в течение двух часов после того, как Мутия сообщил о ней. Он уточнил, что проэксплуатировать брешь можно, если злоумышленник знает идентификатор целевого альбома и имеет разрешение на просмотр фотографий в нем. Представитель соцсети поблагодарил исследователя за обнаруженную им ошибку.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.