Kako je jedan bag mogao omogućiti hakerima da obrišu foto albume korisnika Facebooka

Društvene mreže, 13.02.2015, 08:30 AM

Kako je jedan bag mogao omogućiti hakerima da obrišu foto albume korisnika Facebooka

Svakoga dana na najvećoj društvenoj mreži na svetu objavi se oko 350 miliona fotografija. Facebook ima jednu od najimpresivnijih kolekcija fotografija na internetu. Sve te fotografije mogle su biti obrisane da su informacije o propustu koji je otkrio jedan indijski programer dospele u pogrešne ruke. Srećom, Laxman Muthiyah, programer koji je otkrio ovaj propust, nije pokušao da proda svoje veliko otkriće nekom ko bi to zloupotrebio. Umesto toga, on je svoje otkriće odmah podelio sa Facebookom.

Laxman Muthiyah je otkrio bezbednosni propust u Facebook Graph API mehanizmu koji je mogao omogućiti hakerima da orbišu bilo koji album sa fotografijama na Facebooku i to bez autorizacionog tokena. Bilo koji foto album bilo kog korisnika, stranice ili grupe, zahvaljujući ovom propustu, mogao je lako biti obrisan.

Indijski programer je pronašao način da obriše ne samo svoje foto albume, na kojima je najpre testirao propust, već i albume drugih korisnika i to za samo nekoliko sekundi.

Muthiyah je otkrio da njegov pristupni token generisan za mobilnu verziju Facebooka može biti iskorišćen za brisanje bilo kog albuma sa fotografijama koje je objavio bilo koji korisnik Facebooka.

Da bi obrisao žrtvin album, napadač bi trebalo da pošalje HTTP Graph API zahtev sa ID-jem žrtvinog foto albuma i njegov pristupni token generisan za Facebook za Android aplikaciju.

U teoriji napadač je to mogao da uradi sa samo nekoliko linija koda i telefonom ali u praksi Facebook verovatno ima neke zaštitne mere koje sprečavaju da jedan uređaj nanese toliku štetu. A čak i ako bi napadaču to uspelo, društvena mreža je prevelika tako da bi se verovatno dogodilo to da napadač ne može da obriše albume onom brzinom kojom ih korisnici objavljuju. Ali bot mreža bi već mogla da napravi ozbiljnu štetu.

Muthiyah je o propustu obavestio Facebook u utorak, a kompaniji je trebalo svega dva sata da reši ovaj problem. Muthiyah je za ovo otkriće nagrađen sa 12500 dolara.

“Primili smo izveštaj o problemu sa našim Graph API i brzo ga rešili, dva sata pošto su potvrđene ove tvrdnje”, rekao je portparol Facebooka. On je istakao da bi korišćenje ovog propusta zahtevalo da napadač zna ID foto albuma, kao i da ima dozvolu da vidi album u skladu sa postavkama privatnosti. Ipak, iz kompanije su se zahvalili istraživaču zbog prijavljivanja ovog ozbiljnog propusta i rekli da je on nagrađen u okviru programa za nagrađivanje istraživača koji otkriju bagove.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi uzbunjivač izneo teške optužbe na račun Facebooka

Novi uzbunjivač izneo teške optužbe na račun Facebooka

Još jedan Facebook uzbunjivač izneo je nove informacije o poslovanju društvene mreže. Reč je o osobi koja je nekada bila zaposlena u kompaniji, k... Dalje

''Nije do vas, do nas je'': Instagram će ubuduće obaveštavati korisnike o ''tehničkim problemima''

''Nije do vas, do nas je'': Instagram će ubuduće obaveštavati korisnike o ''tehničkim problemima''

Instagram je najavio nove funkcije koje će ljudima pružiti više informacija direktno u aplikaciji kada “nešto krene naopako”. Instagra... Dalje

Instagram najavio da će podsticati tinejdžere da ''odmore'' od Instagrama

Instagram najavio da će podsticati tinejdžere da ''odmore'' od Instagrama

Instagram će uvesti nove mere kako bi tinejdžere odvratio od štetnog sadržaja i podstakao ih da “predahnu”, izjavio je potpredsednik ... Dalje

Na Telegramu se besplatno dele podaci 700 miliona korisnika LinkedIna

Na Telegramu se besplatno dele podaci 700 miliona korisnika LinkedIna

Baza podataka koja sadrži podatke o više od 700 miliona korisnika, za koje se veruje da su prikupljeni sa LinkedIna, procurila je ove nedelje, tri m... Dalje

Facebook uvodi promene u kontrolama kolačića za korisnike u Evropi

Facebook uvodi promene u kontrolama kolačića za korisnike u Evropi

Facebook je najavio promene u kontrolama saglasnosti za kolačiće u Evropi sa ciljem da korisnicima omogući veću kontrolu nad privatnošću, ali... Dalje