Pratite nas preko RSS-aKako je jedan bag mogao omogućiti hakerima da obrišu foto albume korisnika Facebooka
Društvene mreže, 13.02.2015, 08:30 AM
Svakoga dana na najvećoj društvenoj mreži na svetu objavi se oko 350 miliona fotografija. Facebook ima jednu od najimpresivnijih kolekcija fotografija na internetu. Sve te fotografije mogle su biti obrisane da su informacije o propustu koji je otkrio jedan indijski programer dospele u pogrešne ruke. Srećom, Laxman Muthiyah, programer koji je otkrio ovaj propust, nije pokušao da proda svoje veliko otkriće nekom ko bi to zloupotrebio. Umesto toga, on je svoje otkriće odmah podelio sa Facebookom.
Laxman Muthiyah je otkrio bezbednosni propust u Facebook Graph API mehanizmu koji je mogao omogućiti hakerima da orbišu bilo koji album sa fotografijama na Facebooku i to bez autorizacionog tokena. Bilo koji foto album bilo kog korisnika, stranice ili grupe, zahvaljujući ovom propustu, mogao je lako biti obrisan.
Indijski programer je pronašao način da obriše ne samo svoje foto albume, na kojima je najpre testirao propust, već i albume drugih korisnika i to za samo nekoliko sekundi.
Muthiyah je otkrio da njegov pristupni token generisan za mobilnu verziju Facebooka može biti iskorišćen za brisanje bilo kog albuma sa fotografijama koje je objavio bilo koji korisnik Facebooka.
Da bi obrisao žrtvin album, napadač bi trebalo da pošalje HTTP Graph API zahtev sa ID-jem žrtvinog foto albuma i njegov pristupni token generisan za Facebook za Android aplikaciju.
U teoriji napadač je to mogao da uradi sa samo nekoliko linija koda i telefonom ali u praksi Facebook verovatno ima neke zaštitne mere koje sprečavaju da jedan uređaj nanese toliku štetu. A čak i ako bi napadaču to uspelo, društvena mreža je prevelika tako da bi se verovatno dogodilo to da napadač ne može da obriše albume onom brzinom kojom ih korisnici objavljuju. Ali bot mreža bi već mogla da napravi ozbiljnu štetu.
Muthiyah je o propustu obavestio Facebook u utorak, a kompaniji je trebalo svega dva sata da reši ovaj problem. Muthiyah je za ovo otkriće nagrađen sa 12500 dolara.
“Primili smo izveštaj o problemu sa našim Graph API i brzo ga rešili, dva sata pošto su potvrđene ove tvrdnje”, rekao je portparol Facebooka. On je istakao da bi korišćenje ovog propusta zahtevalo da napadač zna ID foto albuma, kao i da ima dozvolu da vidi album u skladu sa postavkama privatnosti. Ipak, iz kompanije su se zahvalili istraživaču zbog prijavljivanja ovog ozbiljnog propusta i rekli da je on nagrađen u okviru programa za nagrađivanje istraživača koji otkriju bagove.
Izdvojeno
Instagram danas ukida end-to-end enkripciju za direktne poruke
Meta je od danas zvanično ukinula end-to-end enkripciju za direktne poruke na Instagramu, čime korisnici ove platforme ostaju bez dodatnog sloja za... Dalje
Otkrivena kampanja AccountDumpling: zloupotrebom Google AppSheet-a hakovano 30.000 Facebook naloga
Istraživači iz kompanije Guardio otkrili su novu phishing operaciju nazvanu AccountDumpling, povezanu sa akterima iz Vijetnama, koja koristi Google ... Dalje
Meta će obaveštavati roditelje o čemu njihova deca razgovaraju sa veštačkom inteligencijom: „Ovo je samo početak“
Kompanija Meta najavila je novu funkciju koja će roditeljima omogućiti uvid u teme o kojima njihova deca razgovaraju sa AI četbotom. U narednim ned... Dalje
„Možeš da glasaš za mene?“: nova prevara na X-u
Nova talas prevara širi se na X-u (bivši Twitter), gde korisnici prijavljuju sumnjive direktne poruke koje dolaze od naloga koje poznaju ili prate. ... Dalje
Meta upozorava: lažni WhatsApp instalira špijunski softver
Korisnici WhatsApp-a ponovo su meta špijunskog softvera, ali ovoga puta napad ne koristi tehničke ranjivosti već lažnu verziju aplikacije. Prema n... Dalje
Pratite nas
Nagrade
Prijatelji
